摘要: 在Word和其他微软Office系列办公软件中,宏分为两种。 内建宏 位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等。 全局宏 位于Office模板中,为所有文档所共用,如打开Word程序(AutoExec)。 宏病毒的传播路线: 单机:单个Office文档->Offi 阅读全文
posted @ 2021-04-23 23:20 ReVe1Se 阅读(904) 评论(0) 推荐(0) 编辑
摘要: 木马的基本概念 通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。具有远程控制、信息窃取、破坏等功能的恶意代码。 木马的分类 远程控制型木马 远程控制 交互性:双向(攻击者<->被控制端) 典型案例: 卡巴斯基分类标准下的木马子类:Backdoor 冰河、网络神偷、广外女生 阅读全文
posted @ 2021-04-23 16:48 ReVe1Se 阅读(752) 评论(0) 推荐(0) 编辑
摘要: 恶意代码攻击链 恶意攻击的活动大概有7步: Reconnaissance:侦察,利用社会工程学了解攻击目标。 Weaponization:定向的攻击工具制作,常见的工具交付形态是带有恶意代码的pdf文件或者office文件。 Delivery:把攻击工具输送到目标系统上,APT攻击者最常用三种方式来 阅读全文
posted @ 2021-04-19 16:23 ReVe1Se 阅读(563) 评论(0) 推荐(0) 编辑
摘要: 绝大多数的恶意代码可以分类为如下几个类别: 1.后门 恶意代码将自身安装到一台计算机上允许攻击者进行访问。后门程序通常让攻击者只需很低级别的认证或者无需认证,便可连接到计算机上,并可以在本地系统执行命令。 2.僵尸网络 与后门类似,也允许攻击者访问系统。但是所有被同一个僵尸网络感染的计算机将会从一台 阅读全文
posted @ 2020-09-13 19:00 ReVe1Se 阅读(2475) 评论(0) 推荐(0) 编辑
摘要: 全局钩子注入 在Windows中大部分的应用程序都是基于消息机制的,它们都有一个消息过程函数,根据不同的消息完成不同的功能。 Windows提供的钩子机制就是用来截获和监视系统中这些信息。 按照钩子作用的范围不同,它们又可分为局部钩子与全局钩子。局部钩子是针对某个线程;而全局钩子则是作用于整个系统的 阅读全文
posted @ 2020-06-19 16:21 ReVe1Se 阅读(742) 评论(0) 推荐(0) 编辑
摘要: 一、运行单一实例 在使用各种手段将病毒木马植入到用户计算机后,病毒木马会进行激活操作将自身激活开始工作。 但如果病毒木马被多次重复运行,系统中会存在多份病毒木马的进程,于是就存在着暴露的风险。所以,就要确保系统中只运行一个病毒木马实例。 确保运行一个进程实例的方法有很多,扫描进程列表,枚举窗口,通过 阅读全文
posted @ 2020-06-18 17:41 ReVe1Se 阅读(813) 评论(0) 推荐(0) 编辑
摘要: 在之前的概念中,线程切换仿佛一直都是由CPU来控制的,CPU为每个线程分配一个时间片,当线程的时间片用完之后,CPU将会切换线程,让其他线程进行执行,但事实并不是这样。 接下来,逐步分析一下ThreadSwitch代码 // ThreadSwitch.cpp : Defines the entry 阅读全文
posted @ 2020-05-25 15:52 ReVe1Se 阅读(391) 评论(0) 推荐(0) 编辑
摘要: TSS不是寄存器,就是一段内存 共有104个字节 TSS包括当前执行任务的重要信息(如所有的通用寄存器,段寄存器,标志寄存器,CR3等) TSS作用 TSS的意义就在于可以同时换掉“一堆”寄存器,实现任务的切换。 任务是对于CPU而言的,对于操作系统而言则为线程,因为每个进程都至少有一个线程,进程是 阅读全文
posted @ 2020-04-14 15:56 ReVe1Se 阅读(669) 评论(0) 推荐(0) 编辑
摘要: 在PE当中,含有导出表和导入表,两者的功能是什么呢? 一.功能 导入表:在PE文件中供自己使用的函数在一张表当中,便于寻找和使用 导出表:在PE文件中供其他PE文件使用的函数在一张表中,便于其他PE文件进行使用 今天着重介绍导入表 二.误区 在大众对PE的认知当中,可能会认为exe文件只有导入表,没 阅读全文
posted @ 2020-03-23 16:03 ReVe1Se 阅读(510) 评论(0) 推荐(0) 编辑
摘要: 空白区域添加代码 经过一个多星期的PE学习,现在把几个能够较好体现PE结构和各种属性的练习整理出来 目的:在notepad.exe中添加一段代码,使其在运行的时候,先弹出一个窗口,然后再执行主程序。 所利用的知识点: 文件对齐,内存对齐,硬编码,PE头结构 ①首先要知道,PE文件为了更好的执行,添加 阅读全文
posted @ 2020-03-21 21:11 ReVe1Se 阅读(667) 评论(0) 推荐(0) 编辑