病毒分析教程第七话--进程注入分析(上)

最新推荐文章于 2021-01-30 14:38:33 发布
最新推荐文章于 2021-01-30 14:38:33 发布
阅读量951 收藏 5
点赞数 2
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/87257268
版权
本教程深入解析进程注入技术,聚焦DLL注入。通过分析Lab12-01.exe及其注入explorer.exe的过程,揭示恶意代码如何利用CreateRemoteThread和WriteProcessMemory等函数实现进程控制,导致周期性弹窗。了解这一机制有助于防御和清除此类恶意行为。
摘要由CSDN通过智能技术生成

进程注入分析(上)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 12-1

本节实验使用样本Lab12-01.exe和Lab12-01.dll。

在你运行恶意代码可执行文件时,会发生什么?

Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数,不难想象它进行了进程注入的操作。
1
查看该病毒的主体代码,果然是执行了进程注入的恶意操作,注入方式是传统的DLL注入。
2

哪个进程会被注入?

病毒会先遍历进程列表,筛选出名为explorer.exe的进程。
3
从此可知恶意代码被注入到了explorer.exe进程中。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
进程注入方法详细介绍
最新发布
Sumarua的博客
07-01 177
进程注入是一种技术,攻击者将恶意代码注入到合法的系统进程中运行。这种方法可以使恶意代码看起来像是合法进程的一部分,从而逃避安全软件的检测。通过注入合法进程,攻击者可以利用该进程的权限,并在系统中隐蔽存在。
病毒分析教程第七--进程注入分析(中)
安全杂货铺
02-18 588
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-2 & Lab 12-3 本节实验使用样本Lab12-02.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到...
病毒分析教程第七--进程注入分析(下)
安全杂货铺
04-10 484
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-4 本节实验使用样本Lab12-04.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到svchost.exe中。 ...
进程注入的步骤
weixin_34381666的博客
09-16 127
使用CreateRemoteThread和LoadLibrary技术的步骤如下: 1.得到远程进程的HANDLE(使用OpenProcess)。 2.在远程进程中为DLL文件名分配内存(VirtualAllocEx)。 3.把DLL的文件名(全路径)写到分配的内存中(WriteProcessMemory) 4.使用CreateRemoteThread和LoadLibrary...
Lab12-01-恶意样本分析-简单进程注入分析
LoopherBear的博客
05-21 526
简单进程注入分析 样本来自《恶意样本分析》Lab12-1.exe Lab12-01.dll 运行程序后,发生了什么? 观察程序运行信息,会弹出一个对框提示Press Ok to reboot,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对快之后就等待,如果对框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。 哪个进程注入了 这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序。分析后可知,explore.exe被注入加载dll 如何关闭弹窗 需
进程注入方法
traum的专栏
08-06 3503
                为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
19. 直接将恶意代码注入到远程进程中的是进程注入。 20. 运行 DLL 文件的语法格式正确的有 C:rundll32.exe rip.dll, Install 和 C:rundll32 rip.dll 等。 21. 在获取不到高级语言源码时,从机器码中能可信并保持...
程序注入教程集合
qq_35189120的博客
09-27 897
远程线程注入DLL 远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。 选LoadLibrary 函数原因: 首先,它可以把一个Dll载入内存空间,并执行DLL初始化...
知名浏览器病毒注入分析
进击的星空
05-01 3149
浏览器病毒注入分析报告  一、病毒的恶意行为 病毒通过ptrace方式注入、hook浏览器主页,收藏夹和搜索。重定向为病毒指定的网址。 被感染软件包名:     com.android.browser、     com.qihoo.browser、     com.ijinshan.browser_fast、     com.oupeng.bro
c++向其他进程注入代码的三种方式
03-29
c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式 c++向其他进程注入代码的三种方式
恶意代码分析实战——vmware--->Dll注入恶意分析
aming小老弟
01-30 915
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
explorer中注入dll[转]
一片荷叶的专栏
02-09 5862
转载自 事在人为最近在学习如何向其它进程地址空间进行dll注入,主要在于了解一下注入原理,顺便也把有关如何修改进程访问控制列表(ACL)提升权限的知识复习一下,因为这是很有用的。这让我突然想到了提供操作界面的进程explorer.exe.对于用户来说,这个并不陌生。好!转入正题。    这里我选择远线程(CreateRemoteThread)注入,因为在kernel32.dll中封装了关于
【权限维持】Window下的几种隐藏技术
08-19 773
0x00 前言攻击者在获取服务器权限后,通常会用一些后门来维持权限。如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。0x01 隐藏文件1、利用文件属...
系统权限远程线程注入Explorer.exe
weixin_30879833的博客
05-02 468
目录 提升为系统权限,注入explorer中 一丶简介 二丶注入效果图 提升为系统权限,注入explorer中 一丶简介 我们上一面说了系统服务拥有系统权限.并且拥有system权限.还尝试启动了一个进程. 那么我们是不是可以做点坏事了. 我们有一个系统权限进程...
Cookie注入攻防实战
junjie1595的专栏
09-24 1382
Web攻防系列教程之 Cookie注入攻防实战 2012-08-23 17:01:09 摘要:随着网络安全技术的发展,SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常规的手段去探测网站的SQL注入漏洞时会被防注入程序阻挡,遇到这种情况我们该怎么办?难道就没有办法了吗?答案是否定
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值