第七章
1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。
<1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles
<2> 句柄 比如一个窗口,模块,菜单,文件等等
<3> 文件系统函数
<4> 特殊文件
2.Windows 注册表 注册表用来保存操作系统与程序的配置信息,比如设置和选项。和文件系统一样,它是基于主机感染的很好来源,并且能够揭示出关于恶意代码功能的有用信息。
<1> 根键 HKLM HKEY_LOCAL_MACHINE 保存本机机器全局设置
<2> HKCU HKEY_CURRENT_USER 保存当前配置
<3> HKEY_CLASSES_ROOT 保存定义的类型信息
<4> HKEY_CURRENT_CONFIG 保存关于当前硬件的配置设置,特别是与当前和配置标准之间不同的部分。
<5> HKEY_USERS 定义默认用户,新用户和当前用户的配置
自启动程序。向run子键写入项。常见的注册表函数。RegOpenKeyEx,RegSetValueEx,RegGetValue
使用.reg文件的注册脚本,很少有病毒使用
3.网络API
伯克利兼容套接字。Windows网络选项中最普遍使用的是伯克利兼容套接字,它们的功能在Windows和
Unix系统上几乎是一样的。
伯克利兼容套接字在网络功能和Windows系统中是由winsock库实现的,主要在ws2_32.dll中。在所有
库函数中,socket,connect,bind,listen,accept,send,recv函数是最常用的。
socket 创建一个套接字
bind 将一个套接字绑定到特定端口
listen 预示一个套接