目录
4. virtualalloc (void* lpaddress, size_t dwsize, dword flallocationtype, dword flprotect)
一、windows api
1. messagebox (int flags, hwnd hwnd, lpctstr text, lpctstr caption, unsigned int type)
flags: 定义消息框的内容和行为。
hwnd: 拥有消息框的窗口句柄。
text: 显示在消息框中的文本。
caption: 消息框标题栏上的文本。
type: 消息框内容类型(如图标样式)。
用途: 用于向用户显示一个模态对话框,可以包含文本、按钮和一个图标。
应用: 常用于程序中需要给用户提示或选择的情况
2. createthread (size_t stacksize, unsigned (startaddress)(void), void* parameter, unsigned initflag, unsigned* threadid)
stacksize: 新线程栈的大小。
startaddress: 新线程开始执行的地址。
parameter: 传递给线程函数的参数。
initflag: 线程的初始状态和标志。
threadid: 新线程的唯一标识符。
用途: 创建一个新线程,执行指定的函数。
应用: 在多线程编程中用于实现并发操作。
3. createprocess (lpapplicationname lpcommandline, lpsecurityattributes lpprocessattributes, lpstring lpthreadattributes, bool inherithandles, dword creationflags, lpenvironmentblock lpenvironment, lpdirectory lpcurrentdirectory, lpstartupinfo lpstartupinfo, lpprocessinformation lpprocessinformation)
lpapplicationname: 可执行文件名或完整路径。
lpcommandline: 要运行的命令行。
lpprocessattributes/lpthreadattributes: 进程和主线程的安全属性。
inherithandles: 是否继承句柄。
creationflags: 控制优先级类和进程创建的标志。
lpenvironment: 指向环境块的新环境变量。
lpcurrentdirectory: 当前目录的路径。
lpstartupinfo: 指向启动信息的结构。
lpprocessinformation: 接收新进程信息的结构的指针。
用途: 创建一个新的进程及其主线程,运行指定的应用程序。
应用: 用于启动另一个程序或应用,常用于系统管理和任务自动化。
4. virtualalloc (void* lpaddress, size_t dwsize, dword flallocationtype, dword flprotect)
lpaddress: 首选分配内存的地址。
dwsize: 请求的内存量。
flallocationtype: 内存分配类型。
flprotect: 初始化保护类型。
用途: 在进程的虚拟地址空间中分配内存。
应用: 用于动态分配内存,通常在需要大量内存操作时使用。
二、指针
1. 形参与实参的传递
parameter: 传递给函数的参数值。
概念: 形参是定义在函数声明中的参数,而实参是调用函数时传递给形参的值。
特点: c语言中函数的参数是通过值传递的,如果要修改参数的值需要在函数内部使用指针。
2. 双重指针
p: 指向指针的指针。
概念: 指向指针的指针,即二级指针。
应用: 可用于二维数组的传递,或作为函数参数以在函数内部修改指针本身。
3. 读取文件到缓冲区
操作: 使用文件i/o函数将文件内容读入到缓冲区。
技术: 可以使用c语言的文件流(如fopen, fread)或win32 api(如createfile, readfile)。
三、杀软属性
1. 查杀指定对象
目标选定:用户指定怀疑的对象,杀软进行扫描。
恶意代码识别:通过扫描确定对象是否含有恶意代码。
2. 识别恶意代码类型
细分恶意代码:对检测到的恶意代码进行分类,如病毒、蠕虫等。
3. 宏病毒和感染型病毒处理
清除技术:从被感染文件中提取并清除病毒,尝试恢复文件功能。
四、杀软引擎
1. 分析模块
格式解析:分析疑似恶意文件的格式,为后续处理做准备。
2. 特征库
hash数据库:存储用于识别已知恶意软件的hash值。
3. 扫描核心
扫描算法:实现对文件系统的快速且准确扫描。
五、静态查杀
1. 特征码识别
代码级扫描:检查代码级别的特征与已知恶意代码的匹配情况。
2. 云查杀
云基础设施:利用云端资源进行深度分析,不依赖本地计算资源。
3. 校验和
文件完整性:校验文件的完整性,确保没有被篡改。
4. 启发式
行为仿真:模拟代码执行以识别潜在的恶意行为。
5. yara规则
规则定义:使用yara规则定义可疑行为或特征,进行高效匹配。
六、文件报毒情况
1. 下载文件报毒
即时检测:在文件下载阶段即时扫描,预防恶意软件侵入。
2. 运行文件报毒
行为监测:在文件运行时实时监控行为,若发现异常则报警。
七、动态查杀
1. 沙箱检测
隔离测试:在沙箱环境中运行程序,观察其行为以判断安全性。
2. 规避沙箱技术
环境识别:程序试图识别沙箱环境特征,避免被检测。
3. 动态监控
系统行为记录:监控系统行为,拦截可能的恶意活动。
杀软下载链接:
小红伞:下载 Windows、Mac、Android 和 iOS 版安全软件 | Avira Antivirus
ESET:ESET 官方网站首页 | ESET
卡巴斯基:面向家庭和企业用户的卡巴斯基网络安全解决方案 | | 卡巴斯基 (kaspersky.com.cn)
麦咖啡:McAfee | 防病毒软件、手机安全 - 免费下载
哨兵一号:SentinelOne - 高级企业网络安全 AI 平台