(6)恶意代码的亲密接触之文件搜索和API导址

最新推荐文章于 2022-03-31 13:56:14 发布
最新推荐文章于 2022-03-31 13:56:14 发布
阅读量568 收藏
点赞数
分类专栏: 病毒与反病毒技术 文章标签: api 网络 算法 汇编 windows 语言

恶意代码的亲密接触之文件搜索和API导址

   文件搜索

  文件搜索是病毒的重要功能模块之一,也是实现感染和传播的关键。现代Windows和各种移动介质的文件系统可能采用多种复杂格式,因此象一些Dos 病毒一样试图直接存取文件系统(读写扇区)是不大现实的。通常利用Win32 API 的FindFirstFile 和FindNextFile 来实当前目录下所有目录和文件的搜索,通过判断搜索到的文件属性,可区分是否为目录或可执行文件,对于可执行文件则根据预先设计好的感染策略进行感染;对于当前目录下的所有子目录以及特殊的..父目录,可以使用递归或非递归的方式利用上述两个API 全部进行遍历,因此从某个驱动器或网络共享文件夹的任意一个子目录开始,都可以遍历当前驱动器或网络共享文件夹内的所有文件和目录。一般地,搜索文件从驱动器或共享文件夹的根目录开始,那么如何得到当前系统中存在的所有驱动器或所有的共享文件夹列表呢?对于前一个问题,我们知道Windows下可划分A:~Z: 共26 个逻辑盘符,因此可以从A:开始递增搜索所有的驱动器,使用Win32 API GetDriveType判断当前搜索的盘符是否存在,以及是否是固定硬盘、可移动存储介质、是否可写或是网络驱动器等。一般病毒只感染固定硬盘或网络驱动器。由于汇编语言在表述算法时显得过于冗长,因此算法部分使用C 语言描述,当然将C 算法转换成汇编语言是很简单的过程。

  下面的代码enumdisk.cpp将显示A-Z各个驱动器的相关属性:

#include <windows.h>
#include <stdio.h>
#define MAX_DRIVENAME_LENGTH 64
void __cdecl main(int argc,char *argv[])
{
 char DriveName[MAX_DRIVENAME_LENGTH];
 char *p;
 unsigned int drv_attr;
 p = DriveName;
 strncpy(DriveName,"A:",MAX_DRIVENAME_LENGTH);
 for(;*p<'Z';++*p) {
  drv_attr = GetDriveType(p);
  switch(drv_attr)
  {
   case DRIVE_UNKNOWN: // 未知类型
    printf("drive %s type %s/n",p,"DRIVE_UNKNOWN");
    break;
   case DRIVE_NO_ROOT_DIR: // 该驱动器不存在
    printf("drive %s type %s/n",p, "DRIVE_NO_ROOT_DIR");break;
   case DRIVE_REMOVABLE: // 可移动盘,软盘或U 盘或
    // 移动硬盘等
    printf("drive %s type %s/n",p,"DRIVE_REMOVABLE");
    break;
   case DRIVE_FIXED: // 固定硬盘
    printf("drive %s type %s/n",p,"DRIVE_FIXED");break;
   case DRIVE_REMOTE: // 一般是映射网络驱动器
    printf("drive %s type %s/n",p,"DRIVE_REMOTE");break;
   case DRIVE_CDROM: // 光盘
    printf("drive %s type %s/n",p,"DRIVE_CDROM");break;
   case DRIVE_RAMDISK: // RAM DISK
    printf("drive %s type %s/n",p,"DRIVE_RAMDISK");
    break;
  }
 }
}

  与仅仅显示一条信息不同的是,病毒此时将调用文件枚举函数(如后面给出的enum_path函数)从当前根目录开始遍历DRIVE_FIXED的驱动器上的所有文件,根据预定义策略进行文件感染。

  网络共享资源也是按树状组织的,非叶节点称为容器(container),对容器需要进一步搜索直到到达叶子节点为止,叶子节点才是共享资源的根路径。共享资源一般分成两种:共享打印设备和共享文件夹。对于网络共享文件的搜索,采用WNetOpenEnum和WNetEnumResource(由mpr.dll 导出)进行递归枚举。其函数原型及参数含义请参阅MSDN,使用如下代码enumshare.cpp将显示所有的网络驱动器共享文件夹的路径:
  
#include <windows.h>
#include <stdio.h>
#pragma comment(lib,"mpr.lib")
  
int enum_netshare(LPNETRESOURCE lpnr);
  
void __cdecl main(int argc,char *argv[])
{
 enum_netshare(0);
}
  
int enum_netshare(LPNETRESOURCE lpnr)
{
 DWORD r, rEnum,usage;
 HANDLE hEnum;
 DWORD cbBuffer = 16384;
 DWORD cEntries = -1;
 LPNETRESOURCE lpnrLocal;
 // NETRESOURCE 数组结构的指针
 DWORD i;  
 r = WNetOpenEnum(RESOURCE_GLOBALNET,
 // 范围:所有网络资源
 RESOURCETYPE_DISK,
 // 类型:仅枚举可存储介质
 RESOURCEUSAGE_ALL,
 // 使用状态:所有
 lpnr,
 // 初次调用时为NULL
 &hEnum);
 // 成功后返回的网络资源句柄
  
 if (r != NO_ERROR) {
   printf("WNetOpenEnum error..../n");
   return FALSE;
 }
 
 lpnrLocal = (LPNETRESOURCE) malloc(cbBuffer);
 if (lpnrLocal == NULL)
   return FALSE;
 do
 {
  ZeroMemory(lpnrLocal, cbBuffer);
  rEnum = WNetEnumResource(hEnum, &cEntries, // 返回尽可能多的结果
   lpnrLocal, // LPNETRESOURCE
   &cbBuffer); // buffer 大小
  if (rEnum == NO_ERROR) {
    for(i = 0; i < cEntries; i++) {
     usage = lpnrLocal[i].dwUsage;
      if(usage & RESOURCEUSAGE_CONTAINER) {
       if(!enum_netshare(&lpnrLocal[i]))
       printf("Errors detected in enum process.../n");
      }else{
  
      // 这里病毒可调用遍历函数遍历该
      // 共享文件夹下的所有文件
      // enum_path(lpnrLocal[i].lpRemoteName);
      printf("find %s --> %s/n", lpnrLocal[i].lpLocalName, lpnrLocal[i].lpRemoteName);
     }
    }
   }else if (rEnum != ERROR_NO_MORE_ITEMS) {
    printf("WNetEnumResource error.../n");
    break;
   }
  }while(rEnum != ERROR_NO_MORE_ITEMS);
  
  free((void*)lpnrLocal);
  r = WNetCloseEnum(hEnum);
  if(r != NO_ERROR) {
   printf("WNetCloseEnum error..../n");
   return FALSE;
  }
  
  return TRUE;
 }

  遍历开始时WNetOpenEnum 第4 形参为0,在发现共享容器进行递归调用时候, 该参数将为共享容器的NETRESOURCE结构指针。从NETRESOURCE结构中可以找到我们感兴趣的lpRemoteName,该指针不为0 则表示是有效的共享容器或共享文件夹。

typedef struct _NETRESOURCE {
 DWORD dwScope;
 DWORD dwType;
 DWORD dwDisplayType;
 DWORD dwUsage;
 LPTSTR lpLocalName;
 LPTSTR lpRemoteName;
 LPTSTR lpComment;
 LPTSTR lpProvider;
} NETRESOURCE;
p123456789p
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注册表知识和技巧大全
luoxing999的专栏
05-07 1万+
查找指定类型的驱动器
梦断酒醒无归处
02-19 1448
      最近正在写一个程序,其中有一个需求是程序运行时,必须要将特定的光盘放在光驱之中,因此需要枚举当前系统中所有的光驱并逐一识别是否是符合要求的光盘。      通过系统函数GetLogicalDriveStrings与GetDriveType要以完成上述需求,简述如下。      1.函数GetLogicalDriveStrings       其原型如下:        
WinAPI: GetDriveType - 获取磁盘类型
weixin_30902251的博客
02-11 239
//声明: GetDriveType( lpRootPathName: PChar {磁盘根目录} ): UINT; //返回值: DRIVE_UNKNOWN = 0; {未知} DRIVE_NO_ROOT_DIR = 1; {可移动磁盘} DRIVE_REMOVABLE = 2; {软盘} DRIVE_FIXED = 3; {本地硬盘} DR...
遍历磁盘类型
JoeBlackZQQ的专栏
12-14 1076
// 遍历磁盘类型: GetDriveType() #include #include using namespace std; int main() { char rootPath[10] = {0}, driveType[21] = {0}; UINT nType; for(char a = 'A'; a <= 'Z'; a++) { sprintf(rootPath,
逻辑驱动器个数和盘符获取GetLogicalDrives和GetLogicalDriverStrings
Greless的后花园
06-22 5633
获取逻辑驱动器有两个函数GetLogicalDrives和GetLogicalDriverStrings MSDN:GetLogicalDrives函数介绍 MSDN :GetLogicalDriverStrings函数介绍 一、盘符和标卷的获取 GetLogicalDriverStrings // ConsoleApplication3.cpp : 定义控制台应用程序的入口点。
病毒编程技术之恶意代码亲密接触.pdf
05-04
\病毒编程技术之恶意代码亲密接触.pdf
恶意代码分析之API hash反静态分析.pdf
11-15
恶意代码分析中, Windows 平台的 API 函数是非常重要的信息来源, 比如通过分析恶意代码中使用的 API 函数, 我们不需要对已加壳的文件进行逆向分析,因为我们只需要对恶意代码所执行的 API 调用来进行动态分析,...
基于API序列和卷积神经网络恶意代码检测.pdf
08-14
基于API序列和卷积神经网络恶意代码检测 IoT安全
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件
恶意代码分析之开源沙箱Cuckoo代码处置流程分析全景图
最新发布
09-11
该软件支持与开源的入侵检测系统相结合,在还原文件之后调用动态扫描引擎,用于分析未知恶意程序样本。详细内容可以跳转至沙箱官网查阅https://cuckoosandbox.org/,目前最新版本更新到2.0.7版本。本资源主要是从...
根据GetDriveType判断磁盘类型
上善若水pjf的博客
07-15 898
1、GetDriveType判断磁盘类型,传入参数示例:"C:\\" char rootPath[10] = {0}; UINT nType; for(char a = 'A'; a <= 'Z'; a++) { sprintf(rootPath, "%c:\\", a); QString rootPathString = QString(
GetDriveType , DRIVE_FIXED ,DRIVE_REMOVABLE,DRIVE_CDROM
qq_41786318的博客
08-21 3271
GetDriveType 判断一个磁盘驱动器的类型 返回值:Long,如驱动器不能识别,则返回零。如指定的目录不存在,则返回1。如执行成功,则用下述任何一个常数指定驱动器类型:DRIVE_REMOVABLE, DRIVE_FIXED, DRIVE_REMOTE, DRIVE_CDROM 或 DRIVE_RAMDISK 头文件在“winbase.h” UINT GetDriveType( ...
windows API 获取磁盘信息
vawter_gu的博客
01-05 2048
#include #include void getType(char *); int main(int argc, char** args) { char dwPath[MAX_PATH] = { 0 }; char* p = dwPath; GetLogicalDriveStrings(MAX_PATH - 1, dwPath); int s = strlen(dwPat
Windows C++ 判断磁盘类型 判断目录所在磁盘类型 判断是否U盘路径
C++ 爱好者 make_it_simple888
03-31 1993
#include <iostream> //#include "classAh.h" #include <atlstr.h> #include <vector> #include <string> using namespace std; int main() { vector<string> dir_list{ "C:", "D:", "E:", "F:", "H:", "J:", "J:\\temp\\", .
软件漏洞的利用和发现(笔记)
weixin_45561874的博客
10-30 2618
1.漏洞利用与Exploit 漏洞从发现到产生实际危害的整个过程可分为漏洞挖掘、漏洞分析、漏洞利用三个阶段。 无论通过哪种形式进行攻击,其都有一个共同特点,即通过触发漏洞来隐蔽地执行恶意代码。而用来触发漏洞并完成恶意 操作的这个程序则通常被称为Exploit。 Exploit结构 一个经典的比喻就是把漏洞利用比作导弹发射过程: Exploit、Payload和Shellcode可分别对应于导弹发射装置、导弹和弹头: Exploit 类似导弹发射装置,针对目标发射出导弹(Payload),导弹到达目标之后,释
恶意代码亲密接触之病毒编程技术(2)
p123456789p的专栏
03-19 861
恶意代码亲密接触之病毒编程技术(2)  PE 病毒技术剖析  典型的PE病毒修改PE文件,将病毒体代码写入PE 文件文件中,更新头部相关的数据结构,使得修改后的PE文件仍然是合法PE文件,然后将PE入口指针改为指向病毒代码入口,这样在系统加载PE文件后,病毒代码就首先获取了控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码,这样病毒代码就神不知鬼不觉地悄悄运行了。 
ShellCode代码直接注射到远程进程内部
05-18 1458
这里说的是将ShellCode代码直接注射到远程进程内部使它运行! 以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型来编写代码) 文章假定各位已经有了一定的编程基础 1.远程线程注入原理 先说说远程线程注入原理,以前我们编写远程注入代码的时候总是需要自己计算代码注
【读书笔记】-《windows PE 权威指南》-重定位
weixin_33720452的博客
04-16 184
1 ;-------------------------------- 2 ;动态加载功能实现 3 ;moriarty 4 ;2012/04/13 5 ;-------------------------------- 6 .386 7 .model flat,stdcall 8 option casemap:none 9 10 inc...
API哈希匹配:恶意代码动态分析技术
"这篇文档是关于恶意代码分析中的API Hash反静态分析技术,主要讨论了如何在Windows平台上通过API函数来识别和分析恶意软件。文中以Sodinokibi/REvil勒索软件为例,解释了API Hash匹配的原理和反静态分析技巧,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值