摘要: 静态反调试技术 反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从 阅读全文
posted @ 2017-04-10 22:54 _小北 阅读(695) 评论(0) 推荐(0) 编辑
摘要: 利用注册表注入就是在特定的键值下写入动态库的路径, SOFTWARE\\Microsoft\\Windows\ NT\\CurrentVersion\\Windows REG注入原理是利用在Windows 系统中,当REG以下键值中存在有DLL文件路径时,会跟随EXE文件的启动加载这个DLL文件路径 阅读全文
posted @ 2017-04-08 20:26 _小北 阅读(1532) 评论(0) 推荐(0) 编辑
摘要: 现在一般很少有人使用远程线程这种方法来注入动态库或者ShellCode,一般就用来作为一种注入方法来学习。 实现流程 a根据进程ID得到进程句柄。 b在kernel32.dll中得到LoadLibrary()函数的地址。 c在目标进程中申请内存,并写入动态库的地址(作为LoadLibrary函数的参 阅读全文
posted @ 2017-04-08 20:09 _小北 阅读(557) 评论(0) 推荐(0) 编辑
摘要: APC(异步过程调用) 1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时(此时该线程处于可警惕状态),系统就会产生一个软中断。 2)当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数。 3)利用QueueUserAPC()这个API可以在 阅读全文
posted @ 2017-04-08 19:50 _小北 阅读(595) 评论(1) 推荐(0) 编辑
摘要: 这种注入方法是主要是修改进程中的线程上下文来实现Dll注入(ShellCode) a根据进程ID的进程句柄。 b根据进程ID得到线程句柄 c调用SuspendThread()函数暂停线程。 d在目标进程中申请内存,写入ShellCode e调用GetThreadContext()函数获得线程的上下文 阅读全文
posted @ 2017-04-08 19:41 _小北 阅读(1704) 评论(0) 推荐(0) 编辑