恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到,昨天咱们分享了一部分,那么今天我们就分享其他一些技术,主要包括:后门、文件监控、文件自动删除等。后门
后门常以套件的形式存在,用于将受害者信息发送给攻击者或者传输恶意可执行程序(下载器),最常用的功能是接收攻击端传送过来的命令,执行某些操作。
Windows系统中有很多WIN32 API可以执行CMD命令,例如system Winexe CreateProcess等。这里介绍通过匿名管道实现远程CMD。
具体过程
1、初始化匿名管道的SECURITY_ATTRIBUTES结构体,调用CreatePipe创建匿名管道,获取管道数据读取句柄和写入句柄。
2、初始化STARTUPINFO结构体,隐藏进程窗口,并把管道数据写入句柄赋值给新进程控制台窗口的缓存句柄。
3、调用CreateProcess函数创建进程,执行CMD命令并调用WaitForSingleObject等待命令执行完。
4、调用ReadFile根据匿名管道的数据读取句柄从匿名管道的缓冲区中读取数据。
5、关闭句柄,释放资源。
#include "stdafx.h"
#include "PipeCmd.h"
void ShowError(char *pszText)
{
char szErr[MAX_PATH] = {0};
::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetL