病毒分析教程第七话--进程注入分析(中)

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量568 收藏 2
点赞数 1
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/87599046
版权
本文主要探讨《恶意代码分析实战》中的进程注入案例,重点是Lab 12-2 & Lab 12-3。恶意代码通过PE注入技术隐藏在svchost.exe中,其目的可能是键盘监控。恶意负载被加密存储在资源节LOCALIZATION中,并使用异或加密函数解密。通过SetWindowsHookExA实现键盘钩子注入,记录用户击键和窗口标题信息。此外,程序还会生成practicalmalwareanalysis.log日志文件。
摘要由CSDN通过智能技术生成

进程注入分析(中)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 12-2 & Lab 12-3

本节实验使用样本Lab12-02.exe。

这个程序的目的是什么?

从资源节加载恶意payload,然后注入到svchost.exe进程中运行。1

启动器恶意代码是如何隐藏执行的?

使用PE注入的方式将恶意PE注入到svchost.exe中。
2

启动器恶意代码是如何隐藏执行的?

使用PE注入的方式将恶意PE注入到svchost.exe中。
3

恶意代码的负载存储在哪里?

存储在资源节LOCALIZATION中。

最低0.47元/天 解锁文章
G4rb3n
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
病毒分析教程第七--进程注入分析(上)
安全杂货铺
02-14 929
进程注入分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-1 本节实验使用样本Lab12-01.exe和Lab12-01.dll。 在你运行恶意代码可执行文件时,会发生什么? Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数,不难想象它进行了进程注入...
“聊天剽窃手”--ptrace进程注入病毒
aofan9566的博客
01-16 180
近日,百度安全实验室发现了一款“聊天剽窃手”病毒。该病毒可以通过ptrace方式注入恶意代码至QQ、微信程序进程。恶意代码可以实时监控手机QQ、微信的聊天内容及联系人信息。该病毒是眼下发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒。简单介绍该病毒主要是通过ptrace注入QQ和微信进程进行信息窃取的,主程序调用assets的inject_appso,lib...
病毒分析教程第七--进程注入分析(下)
安全杂货铺
04-10 468
进程注入分析教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-4 本节实验使用样本Lab12-04.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入svchost.exe进程运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入svchost.exe。 ...
服务Dll注入Svchost进程
08-31
程序功能:(知识点在doc) 1、实现服务dll 2、注入svchost进程 3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview查看 程序安装完服务,服务启动有以下方式: 1、重启电脑,使用电脑自带svhost服务组自启动服务; 2、手动执行脚本“DriverLifeSrvDll_启动服务.bat”; 3、打开任务管理器或者服务管理器,手动右键启动服务。
系统被注入病毒排查
砚墨
08-17 588
1、#top –d 1 –c #查看异常进程 #netstat -anp #关注“SYN_SENT”进程 #lsof #查找异常进程 #ll /proc/PID |grep exe #查看进程物理路径 2、#Kill -19 PID (or kill -STOP PID) #暂停异常进程 #记录PID号,后面进行删除 3、删除对应的木马文件 先tar命令打包备份 #rm -fr /tmp/ssss 特殊文件删除 #chattr -aji file (可能还要操作目录#chattr -aji /tmp/) #
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
19. 直接将恶意代码注入到远程进程的是进程注入。 20. 运行 DLL 文件的语法格式正确的有 C:rundll32.exe rip.dll, Install 和 C:rundll32 rip.dll 等。 21. 在获取不到高级语言源码时,从机器码能可信并保持...
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
最新发布
【Rainbow Network Technology co., LTD】
08-13 774
本文主要利用 SetThreadContext 修改进程的线程上下文来实现Dll注入(ShellCode)。
揭开病毒的奥秘 DLL的远程注入技术详解
~缘份天空~
06-06 846
DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL, 在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)运行。 这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除, 因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存卸载, 用户也就无法在资源管理器删除这个DLL文件,
一个可以由SVCHost.exe服务调用的dll模块
02-23
替换由svchost.exe启动的某个系统服务,具体服务由全局变量 ServiceName 决定.
dll 调用exe_Windows编程技术:4种Dll注入技术(下)
weixin_39909859的博客
11-29 691
上期说了4种常用注入的2种,今天说下后两种,即“Session 0隔离的远线程注入”和“APC注入”(文章最后提供代码下载地址)。一、Session 0 隔离的远线程注入1、什么是Session 0隔离?在Windows XP、Windows Server 2003 或早期Windows 系统时代,当第一个用户登录系统后服务和应用程序是在同一个Session 运行的。这就...
windows十种注入方式
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-13 5789
进程注入是一种广泛应用于恶意软件和无文件攻击的逃避技术,这需要在另一个进程的地址空间内运行自定义代码。进程注入提高了隐蔽性,一些技术也实现了持久性。 尽管有许多流程注入技术,在本博客,我提供了十种在现实看到注入另一个进程运行恶意代码的技术。 我还提供了许多这些技术的屏幕截图,以便于逆向工程和恶意软件分析,协助针对这些常见技术进行检测和防御。 1. 经典的DLL注入方式 经典的DLL注入方式:通过CREATEREMOTETHREAD和LOADLIBRARY进行注入。 这种技术是用于将恶意软件注入另一
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1055
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
Svchost.exe是病毒的两种情况
热门推荐
shirley的专栏
04-13 2万+
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值