病毒行为笔记

最新推荐文章于 2021-07-16 03:03:37 发布
最新推荐文章于 2021-07-16 03:03:37 发布
阅读量661 收藏
点赞数
分类专栏: 病毒分析 文章标签: 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20977145/article/details/53010280
版权

此文用来收集在病毒分析过程中的行为

1、自我保护篇

1.1强制隐藏拓展名

在键值HKEY_CLASSES_ROOT\exefile下添加数据项NeverShowExt值为空,这样显示“.exe”拓展名就会被隐藏,此时可禁用“文件夹选项”中的“隐藏已知文件类型拓展名”来显示“.exe”

1.2隐藏文件夹选项
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Policies\Explorer添加新项 NoFolderOptions[DWORD]=1
1.3禁用注册表编辑器
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Policies\System添加新项 DisableRegistryTools[DWORD]=1
1.4利用自动播放功能自启动
此功能利用自动播放的功能和AutoRun.inf自启动,AutoRun.inf文件解释如下

什么是Autorun.inf文件呢,严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,它是由一个或多个“节”组成,每个“节”名须以节名作为开始的一行,节名必须用中括号[]括起来,节名之下则为本节中的命令。
其中Autorun.inf一共支持三个节,它们分虽为[autorun]、[autorun.alpha]、[Deviceinstall],其中只有[autorun]是必须存在的

简单实例

[AutoRun] //表示AutoRun部分开始,必须输入
Icon=C:\C.ico //给C盘一个个性化的盘符图标C.ico
Open=C:\1.exe //指定要运行程序的路径和名称,在此为C盘下的1.exe
解决方法是关闭自动播放功能即禁用ShellHardwareDection服务

王二娃的生活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISA培训笔记.pdf
02-11
审计程序列表: ...4病毒和其他恶意代码 5控制风险自评估 6防火墙 7违规和非法行为 8安全评估——穿透测试和脆弱性分析 9评估加密方法的管理控制 10业务应用系统变更控制 11电子资金转账(EFT)
隐藏快捷方式扩展名(.lnk)
热门推荐
好记性不如烂笔头
10-02 1万+
自从装了Windows 7操作系统以后,有一个问题一直困扰着我。当我去掉“文件夹选项中”的“隐藏已知文件类型的扩展名”选项的“√”之后,桌面上的快捷方式的扩展名也出来了,看上去很不爽。记得在XP、Vista系统中,去掉“隐藏已知文件类型的扩展名”前的“√”,快捷方式的扩展名(.lnk)是不会显示的,咋Win 7就有这种怪事呢?
病毒行为分析初探(五)
weixin_34185560的博客
12-25 184
病毒行为分析初探(五) 我们接着做更深入一点的研究。 从文件对比中,我们看到,病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件...
Windows 7 快捷方式
章志强的专栏
03-04 692
WIN7 显示或者隐藏快捷方式的扩展名 KEY_CLASSES_ROOT/lnkfile/NeverShowExt  NeverShowExt 有的话 就表示因此快捷方式的扩展名 就算你选择了显示文件扩展名 它也不会显示  NeverShowExt 没有的话 就根据你是否选择了显示文件扩展名 判断是不是显示扩展名    WIN7对XP时代的快捷方式做了修改,如果用FindFirstFile
病毒分析与防护实验1——注册表操作
郭同学如是说
03-05 3887
E01814234郭佳明——注册表操作 实验名称:病毒分析与防护——注册表操作 实验环境 VMware workstation pro Windows 10 虚拟机 实验目的 了解病毒传播的常见行为 了解注册表在病毒行为设置中的作用 实验原理 注册表是windows操作系统中使用的中央分层数据库,存储用户、应用程序和硬件设备配置系统所需要的信息。这些信息以树状结构存储在注册表(数据库)中。包括:用户的配置文件、安装的应用程序以及应用程序创建的文档类型、文件夹和应用程序图等、系统上存在哪些硬件
病毒行为分析初探(三)
weixin_33857230的博客
12-24 171
病毒行为分析初探(三) 双击“病毒样本”,运行病毒,看看文件和注册表的变化 文件:增加了不少文件呀(上图绿色所标,均是病毒运行生成的) 注册表:增加了不少注册表项,还改了两个键。 转载于:https://blog.51cto.com/20100823/750492...
计算机网络安全04751超强笔记.doc
06-06
4751计算机网络安全 第1章 结论 一、识记 1、计算机网络系统面临的典型安全威胁 答:窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、 电磁/射频截获、人员疏忽。 2、计算机网络安全的定义 ...
汇编语言笔记 参考《汇编语言 第三版》王爽.zip
04-20
- **反病毒与安全研究**:理解和编写汇编代码有助于分析恶意软件行为、逆向工程及编写防病毒软件。 - **教学与理解计算机原理**:学习汇编语言有助于深入理解计算机体系结构、指令集、内存管理和硬件接口等基础概念...
【CN更新版】JUJUMAO-WINXPSP3笔记本专用CD克隆装机版 2011.05
05-18
真正未进行二次封装,采用全新的方法更新系统,直接修改GHO文件,对系统稳定不会有影响 ...+本系统光盘只是学术交流的内容,不得用于商业行为,试用完后请自行销毁。 +如果您觉得满意,请购买正版!
天眼WEB安全渗透v1.0(压缩包).rar
08-18
1)网站目录扫描 网站后台目录扫描工具,调用外部核心扫描网站后台目录,无视服务器自定义404、403错误!... 2) 服务端口扫描 ...本软件集成工具不存在病毒后门行为,请在使用之前暂时关闭或卸载该反病毒软件.
计算机一级找回隐藏,重现丢失误删隐藏的程序和文件
weixin_32695347的博客
07-16 992
重现丢失误删隐藏的程序和文件导读:1。【重现桌面图标】【从桌面的《开始》菜单恢复】【从《我的电脑》的具体文件目标所在位置恢复】【控制面板法】【组策略法】【Windows XP 系统《经典模式桌面》和《梦幻模式桌面》】2.【找回丢失的《运行》、《关闭系统》和《注销》命令】3.【找回被隐藏的《输入法》】4. 【显示文件扩展名】5.【显示隐藏的文件夹】6.【显示被隐藏的新增移除软件清单】7.【还原登陆界...
病毒分析教程第二话--动态行为分析
安全杂货铺
07-07 3731
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析。分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
病毒行为分析初探(一)
weixin_34236497的博客
12-24 64
病毒行为分析初探(一) 病毒、***,一对讨厌的家伙,可就是有人对此乐此不疲。那些制造病毒、***的人就是会武术的流氓啊。 病毒和***原来还是有点区别的。 病毒一旦侵入您的电脑,打砸抢摔,胡作非为,不把你的计算机搞死也得弄个瘫痪,非常张扬,为恐别人不知道他的存在,另外他通常还有传播感染的能力,折腾一台还不过瘾,欲拖垮一大片,肆意嚣张。那些病毒的编写者修炼武功走火入魔了...
一个DDOS病毒的分析(一)
Fly20141201. 的专栏
08-20 4747
一、基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB   病毒文件的组成: 病毒母体文件Rub.EX
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
onenote笔记导入有道云笔记
09-04
导入OneNote笔记至有道云笔记是可以实现的。首先,打开OneNote应用程序。在导航栏中选择“文件”选项,然后选择“导出”或“另存为”选项。选择将OneNote笔记导出为.mht(网页存档)文件格式。保存好这个文件。 接下来,登录有道云笔记的官方网站或打开有道云笔记应用程序。在有道云笔记中选择“导入”选项。在导入选项中选择“从电脑中导入”选项,然后选择之前保存的.mht文件。等待导入完成。 有道云笔记将自动识别.mht文件中的内容,并将其转化为有道云笔记中的笔记格式。导入成功后,您就能够在有道云笔记中查看、编辑和管理OneNote笔记了。 需要注意的是,导入过程中可能会出现一些格式转化的问题,如排版有所改变、图片和附件可能无法完全保留等。建议在导入后,重新检查和调整一下导入的笔记,以确保其与原始OneNote笔记尽量保持一致。 总之,将OneNote笔记导入有道云笔记可以通过将笔记导出为.mht文件,然后在有道云笔记中选择导入该文件来完成。虽然在导入过程可能会存在一些格式转化问题,但这是一个很便捷的方法来将OneNote笔记迁移到有道云笔记平台中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值