前言
给出的恶意程序都是十分简单的类型,几乎没有阻止分析的手段,且IDA的反编译结果可读性十分好,只能说是用来了解一波恶意代码编程的方法和思路了。
Lab7-1
主要是Windows服务程序,可参考以下资料了解windows服务
1.http://soft.chinabyte.com/os/368/12251368.shtml
2.https://onew.me/2018/10/08/windows-service/index.html
3.https://docs.microsoft.com/zh-cn/windows/desktop/Services/service-programs
服务程序的关键函数:
- StartServiceCtrlDispatcher,将服务的主线程连接到SCM的服务进程中
- ServiceMain,服务的代码,操作系统调用的回调函数
- RegisterServiceCtrlHandler,注册服务的CtrlHandler函数,返回服务句柄
- CtrlHandler,SCM调用的回调函数,用这个函数来改变服务的状态
- SetServiceStatus,更新SCM中正在调用的服务状