基于感染主机的特征
Windows 文件系统
利用ProcMonitor检测 opertion->CreatFile \ReadFile
常用的函数包括:
CreateFile
打开或者创建一个文件,根据dwCreationDisposition
标记来确定创建文件还是打开文件
ReadFile
读取文件内容
WriteFile
写内容到文件
CreateFileMapping
将一个文件映射到内存中
MapViewOfFile
获通过CreateFileMapping
函数映射的文件指针
通常有这些函数调用,可能会存在缓存文件或者创建配置文件等行文,可以作为主要的特征判断。
网络Api
命名规则:伯克利兼容套接字
socket
ws2_32.dll 主要包括了socket通信的api socket connect bind listen accept send recv
等
http
📴wininet.dll是http,ftp协议的库,包括了
InternetOpen
初始化一个互联网的连接
InternetOpenUrl
放一个url地址
InternetReadFile
从网络下载文件到本地