木马核心技术剖析读书笔记之Windows 64 位系统下的木马技术

最新推荐文章于 2019-06-26 22:53:20 发布
最新推荐文章于 2019-06-26 22:53:20 发布
阅读量458 收藏 2
点赞数
分类专栏: 读书笔记 木马核心技术剖析读书笔记 文章标签: 木马核心技术剖析 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79573887
版权
对比 32位系统 64位系统
物理内存最大容量 4GB 2TB
单进程地址空间最大容量 3GB 8TB

Windows 64 位系统

当前64位平台上只实现了48位的线性地址空间,0-47位是地址,48-63保持与第47位相同。低地址范围:0x0000000000000000-0x00007FFFFFFFFFFF,高地址范围:0xFFFF800000000000-0xFFFFFFFFFFFFFFFF。Windows 64 位系统内核使用高地址范围,用户态使用低地址范围

Wow 64 子系统

Wow64 是 Windows 64 位系统的一个子系统,负责在 Windows 64 位系统上执行 32 位的应用程序

木马要同时支持 32 位系统和 64 位系统,需要针对 Wow64 的实现与运行机制,进行有针对性的处理,才能更好地适应 Windows64 位环境,并进行有效的防护。木马使用 IsWow64Process 函数判断其是否运行在 Wow64 子系统中,由于 32 位的 Windows 系统也实现了该函数,故该函数只能判断进程是否运行在 Wow64 中,而不能判断所在系统为 64 位系统。要获取是否为 64 位系统,需要使用 GetNativeSystemInfo 函数

Wow64 子系统主要由用户模式下的一组 DLL 及系统内核中的部分功能组成

最低0.47元/天 解锁文章
PolluxAvenger
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
木马核心技术剖析读书笔记木马实例解析
不急不躁
03-14 2668
模块化的木马系统架构 被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分 Dropper Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,...
木马核心技术剖析读书笔记木马免杀
不急不躁
03-16 2266
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
64操作系统最大虚拟内存16TB
无尽星空--帝王铠
06-26 6314
原文链接:http://shayi1983.blog.51cto.com/4681835/1734822 本文为原创翻译,原文出处为 http://www.codemachine.com/article_x64kvas.html 这有效地将 X64 地址空间分开成2部分——用户模式地址范围:0x0000000000000000~0x0000FFFFFFFFFFFF; 内核模式地址范围:0xFF...
x64 结构体系下的内存寻址
weixin_30629653的博客
08-16 361
欢迎转载,转载请注明出处:http://www.cnblogs.com/lanrenxinxin/p/4735027.html 在阅读NewBluePill源码的时候,看内存的那一块简直头疼,全是x64下的寻址,之前根本就没有接触过x64的内存寻址上的内容,看的晕头转向,决定先把x64下的寻址给弄明白了再回过头来看NewBluePill的源码,然后在网上一顿找,居然没有找到关于x64寻址的博客或...
木马核心技术剖析读书笔记木马技术的发展趋势
不急不躁
03-14 1492
通信隐蔽化 为了更好地逃避目标主机上的安全软件、防火墙的拦截,越来越多的木马采用更底层的通信协议,甚至实现不同于 TCP/IP 协议的私有协议,以达到更好的通信过程隐蔽化 基于 Tor 的通信 Tor 提供了一个顶级域 .onion,用户只能通过 Tor 访问网络中的服务和主机,有效地保护了提供服务的主机置和所有者的身份标识 卡巴斯基发现了多种使用 Tor 进行通信的木马,如 64 ...
木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南
最新发布
05-30
它包括两篇精心编写的PDF文档:一篇深入剖析木马如何利用各种技术隐藏自己,包括基于用户模式和内核模式的Rootkit、文件隐藏、文件系统驱动(FSDs)操作、模块隐藏以及端口隐藏等;另一篇则通过实验操作,展示了...
Android系统木马隐藏及检测技术
05-24
Android系统木马隐藏及检测技术,学习课程,知识全面丰富
硬件木马防护技术研究
01-20
对硬件木马防护技术进行了深入研究,提出一种新的硬件木马防护分类方法,系统全面地介绍了近年来主流的预防与检测技术,并通过分析比对,给出各方法的特点和存在的问题。最后,提出新的防护技术设计思路,对未来研究...
木马核心技术剖析读书笔记木马的隐藏
不急不躁
03-18 2384
文件隐藏 常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit 基于用户模式的 Rootkit 在 Windows 中,应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例,Native API 通过 sysenter 指令进入内核,进而调用 SSDT(System Service Dispatch Table,系...
木马查杀深度剖析》 pdf
08-30
木马查杀深度剖析
Windows操作系统核心技术
05-12
Windows操作系统核心技术 Windows 2000XP的体系结构 进程、线程和处理机管理 存储体系 Windows 文件系统 设备管理 Windows的网络 Windows应用程序设计 Windows设备驱动程序设计 Windows 的安全
Windows操作系统核心技术-讲义
04-13
本课程以Windows2000\XP为代表介绍Windows操作系统的基本概念和术语,关键系统组件及其相互关系,进程管理的基本原理和操作,内存管理的基本原理,文件系统NTFS的基本原理,输入输出系统的结构和相关处理以及安全系统的主要功能。
木马常见植入技术剖析
12-22
首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。
木马核心技术剖析读书笔记木马反分析技术
不急不躁
03-16 932
常见的恶意软分析技术主要包含静态分析和动态分析两大类 反调试 木马程序使用反调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程 Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的 调试器工作机制 反病毒分析过程中,由于不可能获取到被分析软件的源码,...
木马核心技术剖析读书笔记木马通信与防火墙穿透
不急不躁
03-15 1431
基于 TCP 的木马控制通信 TCP 协议是字节流式的传输协议 ,木马通信还需要自定义应用层的协议 被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到 粘包与分包处理 粘包是指在接收方接收数据时,可能一次接收到多个数据包的数据组成的数据段,也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段 TCP粘包产生有两方面原因:...
木马核心技术剖析读书笔记木马驱动加载与启动
不急不躁
03-18 1199
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值