内核级木马与病毒攻防:windows恶意代码分析入门

最新推荐文章于 2023-05-31 16:51:21 发布
最新推荐文章于 2023-05-31 16:51:21 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 内核级病毒与木马攻防战 文章标签: 病毒木马 windows程序分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/107255394
版权
本文介绍了如何对Windows上的恶意软件或病毒进行静态分析,包括直接读取可执行文件以获取关键信息,如服务器IP和URL。静态分析工具如strings.exe用于查找ASCII字符串,而Dependency Walker则用于查看程序的链接库和调用函数,以推测其潜在目的。文章强调了打包和加壳技术如何阻碍分析,并指出不同DLL的加载可能暗示的恶意行为,如kernel32.dll和Advapi32.dll。
摘要由CSDN通过智能技术生成

本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理。

本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的,在代码设计时往往粗制滥造,不会关心软件工程方面的问题,例如他们会将服务器ip,URL等重要信息以字符串的方式写在代码里,因此直接读取其可执行文件就能获取这些信息,我们看一个例子,使用VS编译如下一段非常简单的代码,然后生成exe可执行文件:

#incolude<iostram>
const char* p = "This is a String";
int main() {
std::cout<<"Hello World!";
}

注意到程序里有两个字符串,它们会直接存储在编译好的可执行文件里,在恶意软件或病毒程序中,这些字符串往往对应服务器ip或某些关键信息,直接从可执行文件中抽取出这些信息后就能得到

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
专栏目录
订阅专栏
内核病毒木马攻防:windows可执行文件结构解析及常用工具
tyler_download的专栏
07-27 970
大多数人使用windows系统,相必对其.exe结尾的文件印象深刻,执行任何程序时,你双击该文件即可,这个文件就是系统的可执行文件,我们需要了解其组成结构才能对其进行侵入,劫持或注入恶意代码。 .exe文件也叫PE文件,它由一系列段头和段来组成。它一开始是一系列段头数据结构,用于描述各个段的相关性质,接下来就是包含代码和数据的各种段。有几个段特别值得注意,.text段包含CPU可以执行的指令,其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息,这个段是唯一包含可执行代码的段。.rdata包含引入和
内核病毒木马攻防:windows上四个恶意代码病毒程序分析实战
tyler_download的专栏
08-06 1444
本节看看如何将前面讲述的各种工具和理论应用到实践中来。我们将拿几个专门针对windows系统开发的恶意程序作为实例,用前面讲到的工具和理论具体分析其设计原理并了解它所要实现的目的。 所要分析的二进制可执行文件以及所有用到的工具可从如下链接下载链接: https://pan.baidu.com/s/1QBwGxCGjA7kYd4HchSTlWg 密码: 09g7 首先我们分析第一个恶意程序,也就是malicious-01.exe。面对exe程序时,首先要做的就是将它丢到PEView里先看看它的大概信息,打开
研究分析QQ木马程序源代码
回家念经(kv300)--编程之禅
08-09 9606
    QQ 木马的源代码   如何判断系统如何操作注册表如何通过控制自己的进程得到其他进程的内容如何复制文件如何插入进程[也叫进程注射,好像这么叫]如何通过SMTP法送邮件针对QQ1230及2003版的木马程序源代码,兼容win98,2000,不显示进程。 首先请大家不要骂我,我早已对QQ不感兴趣,不过好久没有听说新的盗QQ号的程序,还是觉得有点奇怪,问了几个人,听说新版的QQ增
windows内核木马
深度技术安全
02-25 2019
<br />1、Image Patches(映像补丁)<br />修改内核模块比如ntoskrnl.exe,ndis.sys,ntfs.sys等的代码段<br />1.1、函数前导Hook<br />Intel架构下,控制转移指令有三种,分别是2字节的寄存器操作,5字节的相对偏移操作和6字节的内存操作。当然,我们有两种方式来实现这种inline hook:<br />1)用Microsoft的detour库<br />2)用一个长度反汇编引擎,字节构建<br />我自己实现过一个动态HOOK引擎,在我的即将
Windows 系统中拒绝恶意代码
hlyf520的专栏
10-13 454
恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。禁止后缀名为“VBS、VBE、JS、JSE、WSH、
恶意代码分析实战学习之windows基础
xlsj雪松的博客
06-11 572
1、黑客 Windows API Windows 是一个很大的服务中心,调用这个服务中心的各种服务(每一种服务就是一个函数),可以帮应用程式达到开启视窗、描绘图形、使用周边设备等目的,由于这些函数服务的对象是应用程序(Application), 所以便称之为 Application Programming Interface,简称 API 函数。 常见Windows API类型 2、句柄...
Win64.Rootkit.Agent.Stso内核木马
Z_shuaishuai的博客
07-22 4051
腾讯电脑管家好像处理不了,重启5.6次还是有,直接进文件位置自己删了,玩了一晚上游戏,复查,就没有了;今早也看了一遍,也没有。 一直重启屁用没有,不如我自己动手。 昨天下午逛B站,逛着逛着,诶,视频没声了,然后QQ能用,就是网页不能连,将近差不多5分钟吧,然后就感觉有猫腻。就用腾讯管家扫了一遍。tm内核木马,看见的时候给我吓傻了,这玩意可不是说笑的哈,卡巴斯基俺一个极度抠门的又没买,盗版的也没弄,就有一个腾讯电脑管家和win10自带的。 一个星期前自行照着B乎还是CSDN上面文章升的w..
Linux内核木马病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1457
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒木马进行”剖尸检验“,通过gdb调查木马病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
内核木马病毒攻防:Linux可执行文件的ELF格式描述
tyler_download的专栏
07-20 922
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(五)文件监控
qq_44370676的博客
01-30 434
文件监控具体过程相关APICreateFile函数CreateThread函数FILE_NOTIFY_INFORMATION结构体ReadDirectoryChangesW函数示例代码运行结果流程图 具体过程 打开目录,获取文件句柄,调用CreateFile获取文件句柄,文件句柄必须要有FILE_LIST_DIRECTORY权限。 调用ReadDirectoryChangesW设置目录监控。 判断文件操作类型,只要有满足过滤条件的文件操作,ReadDirectoryChangesW函数会立马返回
内存映射型内核木马的研究与改进
12-19
内存映射型内核木马的研究与改进.pdf
通过简单的Dos命令来发现计算机木马病毒
03-03
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(四)远程cmd
qq_44370676的博客
01-28 666
远程CMD流程相关APICreatePipe函数CreateProcess函数WaitForSingleObject函数ReadFile函数示例代码总结 windows系统中,cmd相当于在windows窗口中使用dos系统。简单理解就是通过黑乎乎的命令行界面完成键盘鼠标的操作,类似linux下的bash。 远程cmd可以看作一种后门,用于将受害者信息发送给攻击者或者传输恶意可执行程序(下载器),最常用的功能是接收攻击端传送过来的命令,执行某些操作。 Windows系统中有很多WIN32 API可以执行CM
Windows 恶意代码解决办法(转)
csd3176的博客
08-11 535
Windows 恶意代码解决办法(转)[@more@]   浏览过含有恶意代码的网页后,你的计算机可能会中招,计算机启动后自动打开一连串的网页,并限制对主页属性窗口的修改等。要杜绝恶意网页代码,我们需要怎么做,正面慢慢道来~~...
windows分析恶意代码工具列表
博客
11-29 959
windows工具 尽量从官网下载工具 工具 火绒剑 使用Resource Hacker来查看资源节 PEID查壳,KANAL插件用来从PE文件中找出普遍使用的加密算法 ASPack 壳,可用AspackDie脱之 yoda’s Protector 脱壳机:stanko_popov@abv.bg UPX加壳与脱壳 Resource Hacker Windows®应用程序的免费资源编译器和反编译器 ...
安全防御 --- 恶意代码、防病毒
热门推荐
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序病毒夺取控制权;将病毒程序嵌入感染目标中。
分析恶意代码需要熟知的Windows概念
最新发布
weixin_51758733的博客
05-31 324
分析恶意代码需要熟知的Windows概念
3招搞定Windows恶意代码攻击
fenghuayue88的专栏
04-21 619
<br /> 恶意代码,是指网页中使用了利用WSH漏洞来修改系统的一段代码(但是由于它并不具备传染性和自我复制这两个病毒的基本特征,因此不能称作病毒)。WSH是“Windows Scripting Host”的缩写,是微软提供的一种脚本解释机制,它使得脚本文件(扩展名为.js、.vbs等)能够直接在Windows桌面或命令提示符下运行(您可以搜索一下您windows安装目录下的 *.js或者*.vbs文件,然后双击运行看看效果)。  <br />    <br />  也就是说,我们可以从卸载WSH、阻止恶
病毒分析快速入门01--分析环境搭建
morta1的博客
03-22 1657
小C无聊的躺在床上,刷着#开学#话题微博。 都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑 工作的问题。 回顾大学四年,小c所得称号最多得只有: “召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。 想着...
移动恶意代码分析攻防实践与关键技术
这些行为通常由不同类型的恶意软件家族实施,如病毒、蠕虫、木马、工具、流氓软件、广告件、风险软件、黄色软件和支付软件。 移动恶意代码分析的知识构成主要包括对Android系统的理解,因为Android是目前最广泛使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值