随笔分类 - 恶意代码
摘要:C.S远程指令控制 一. 模型结构 客户端: 客户端首先创建一个套接字,该套接字绑定的是目标IP和端口,在调用connect函数的时候将自己的IP和端口发送给服务器。 服务端: 服务端首先创建一个套接字,该套接字和自身IP以及端口绑定,在调用accept函数的时候,从缓冲区将客户端的IP和端口
阅读全文
摘要:一. 回调函数介绍 如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数。回调函数不是由该函数的实现方直接调用,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。 回调函数的机制如下: 定义一个回调函数; 提供函数实
阅读全文
摘要:一.DLL注入应用: 改善功能与修复Bug:可以使用DLL注入技术为程序添加新功能(类似于插件),或者修改有问题的代码、数据等。 消息钩取:windows os自带的消息钩取功能就是一种dll注入技术,它自带了一些dll文件,我们只需要编写函数将其注入就可以。比如说后面会提到的键盘消息钩取。 监视、
阅读全文
摘要:一.远程线程注入步骤: 获得目标进程句柄 方法1:先获得窗口句柄,根据窗口句柄获得进程ID,再根据进程ID获得进程句柄。 hwnd = FindWindow("Notepad", NULL);//找到程序窗口句柄 if (hwnd == NULL) { MessageBox(NULL, "获得窗口句
阅读全文
摘要:一.DLL注入应用: 改善功能与修复Bug:可以使用DLL注入技术为程序添加新功能(类似于插件),或者修改有问题的代码、数据等。 消息钩取:windows os自带的消息钩取功能就是一种dll注入技术,它自带了一些dll文件,我们只需要编写函数将其注入就可以。比如说后面会提到的键盘消息钩取。 监视、
阅读全文
摘要:在恶意代码分析过程中,关注的重点是恶意代码的整体行为机制和运行逻辑,但是现在由于我们对底层实现逻辑还不太清楚所以花费了大量的时间在具体实现上,要在积累的前提下大胆猜测小心求证。今天我们换一种分析方式,先通过基础静态分析大致猜测恶意代码行为然后再具体分析具体的实现机制。 一. 注册表行为 在恶意代码当
阅读全文
posted @ 2023-08-15 23:17
ONE_ZJ
摘要:一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停
阅读全文
摘要:通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代
阅读全文
浙公网安备 33010602011771号