关于一些类病毒隐藏技术的设想

关于一些类病毒隐藏技术的设想

线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)

另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.

文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码

另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在/windows则放到/system(32)中, 反之亦然.

在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction

由于是"设想", 所以没给出代码, 希望理解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论

打赏作者

softboysxp

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值