如果使用strings查看一个程序的字符串很少时,它可能是一个加壳的。这时先用PEiD检测查壳。另外字符串中看到dll说明进程是动态获取。
一、API使用
CreateRemoteThread();运用此函数基本就是病毒了,这是注入的核心函数 。高版本编译环境如同CreateRemoteThreadEx()
Svchost.exe通常是service.exe的子进程,正常的svchost.exe文件位于%systemroot%\system32(或64)目录中,在cmd中使用Tasklist /svc方法,如果看到哪个svchost.exe进程后面的提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了。
NtReadFile函数ntdll.dll是内核空间和用户控件的桥梁,用户空间的代码通过这个dll来调用内核空间的系统服务
EnumResourceNamesA API函数,函数目的是枚举指定的二进制资源,我们可以猜测程序功能是,枚举资源文件,然后映射如内存,经过解密,形成shellcode,然后执行shellcode。
GetInforAndOpenUrl(10007580)获取系统信息,检测进程中是否存在指
恶意软件分析——恶意程序特征的经验积累
最新推荐文章于 2024-08-16 16:05:55 发布
本文探讨了恶意软件分析,重点关注API使用、注册表操作和文件操作。介绍了如CreateRemoteThread、Svchost.exe等与病毒行为相关的API函数,并列举了恶意软件常用的注册表自启动项。此外,还讨论了恶意程序如何利用Win.ini、System.ini、Autoexec.bat等文件进行启动,并提到了启动组和不同用户启动文件夹作为隐藏入口。
摘要由CSDN通过智能技术生成