![](https://img-blog.csdnimg.cn/20190902134813522.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
病毒分析
小哈龙
一颗勇往直前的心
展开
-
如何识别文件的真假
如何识别文件的真假作者:阮一峰日期:2019年11月26日每个人都下载文件,大家有没有想过,文件可能是假的,尤其来自网盘或专门的下载站。本文就来谈谈如何识别文件的真假。一、XcodeGhost 事件我们从一件真实的事件说起。2015年9月,苹果手机的一些 App 被发现向可疑网站发送数据。进一步调查确认,可疑代码是 Xcode 打包时植入的。也就是说,开发者的编...转载 2019-11-27 14:49:45 · 1152 阅读 · 0 评论 -
[转载] 之前碰过的木马分析
之前我有碰过有过一款国产木马。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,转载 2016-01-06 11:16:32 · 1394 阅读 · 0 评论 -
病毒和木马的区别
关于病毒和木马以前总认为是一个东西都是那些恶意的程序,但是还有许多细节的说法,今天学习了一下,在这里做一下总结,以后有一个新的认识。木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术.原创 2016-01-06 11:23:25 · 1117 阅读 · 0 评论 -
一般的病毒通过注册表自启动的方式不断完善中。。。。
我们都知道病毒存在很大的隐藏性,流氓性,它总是在不知不觉中就在你的电脑上运行为非作歹,现在就把目前知道的几种病毒在电脑中自启动的两种方式记录一下。现在知道的这两种都是病毒通过注册表的形式自启动。第一种:注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classs\exefile\shell\open\command 中的一项 数据处填写的是"%1" %* 这个格式是可原创 2016-03-03 20:54:31 · 2116 阅读 · 0 评论 -
SeDebugPrivilege
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE, d转载 2017-04-10 20:16:44 · 6328 阅读 · 0 评论 -
提升进程权限的几个常用函数
文章一:在枚举/结束系统进程或操作系统服务时,会出现自己权限不足而失败的情况,这时就需要提升自己进程到系统权限,其实提升权限的代码很简单的,看到过的最经典的应该是《WINDOWS核心编程》第四章中操作进程给出的那个函数了,如果我们真的不了解它的操作也不要紧,因为只要在你需要的地方调用下面这个函数就是了,以下是它的代码: BOOL EnablePriv(){HANDLE hTok转载 2017-04-10 19:47:29 · 1431 阅读 · 0 评论 -
系统引导过程
系统引导过程主要由以下几个步骤组成(以硬盘启动为例)1、 开机;2、 BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000;3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处;4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介转载 2017-04-21 16:31:21 · 1099 阅读 · 0 评论 -
MBR样本分析
1 MBR病毒样本分析1.1 基本信息样本类型:MBR感染样本大小:36864 字节 36KBMD5:955b66c722ca993dd11fbe56bbf92525壳种类:无壳编译器信息:VC++6.0简介:该样本是一个修改MBR的病毒。感染症状:感染该病毒后,刚开始并不会发现有什么异常情况,但是当你重启电脑后,你就会发现电脑启动停留在一个黑色界面,带着恶意文原创 2017-07-06 15:53:06 · 1655 阅读 · 0 评论 -
exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法
对于exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法。方案一: 先将regedit.exe改名为regedit.com或regedit.scr。运行regedit.com,找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command键值,将默认值改为"%1" %* 数值如下图所示: 重启,再将regedit转载 2018-01-22 11:27:51 · 11885 阅读 · 4 评论