摘要： 1. svchost的由来 Windows系统服务现在可以分为独立进程和共享进程 在windows Nt中, 只有服务管理器SCM(service.exe)有多个共享服务. 随着系统的服务增加,为了增强系统性能于是 在windows2000开始将很多服务做成共享方式并且由svchost.exe启动 阅读全文

摘要： 1.简介 病毒以服务的方式运行最大的好处就是不容易被动态调试, 但是很多服务型病毒并不会直接以服务形式运行,因为很容易被发现. 所以一般都通过劫持 服务的技术来使正常服务与病毒服务程序关联 2.原理 当服务创建时会操作注册表, 其中服务信息存在于: HKEY_LOCAL_MACHINE\SYSTEM 阅读全文

摘要： 1.简介 BHO 全名: Browser Helper Object 即浏览器辅助对象 它是微软推出的作为浏览器对第3方程序开发的交互接口的标准. 通过这个接口就可以编写代码来拓展浏览器, 获取浏览器行为等. 因此同样给了恶意代码的可乘之机. 恶意代码可以通过注册插件等手段来对浏览器进行劫持. 借助 阅读全文

摘要： 1.基于异常的反调试 (1) 基本原理: 注册SEH后, 正常情况下发生异常会转入SEH处理流程, 但是如果这时处于被调试状态则异常事件会先发给调试器. 基于这个原理就能探测到进程是否是 被调试运行. (2) 基于int 3 断点异常反调试 故意隔一段代码就调用一个会触发int 3异常的函数, 而且 阅读全文

摘要： 静态反调试虽然容易绕过,但是由于种类繁多,如果病毒结合了很多种静态反调试而对其了解不多的话,也不好办,所以了解更多的 方法不至于束手无策. 1.利用PEB的BeingDebugged 字段 已知fs:[0x30]指向PEB, PEB地址+0x2 处的一个字节的数据表示是否在被调试,如果是1则是,0则 阅读全文

摘要： 1.teb:线程环境块 重要字段: 以fs:[0]为基址,fs:[0]的值即为teb的地址, 可以将fs理解为指向teb,后面的0是个字节级别的偏移,虽然并不完全正确,但方便记忆 +0x0 *NtTib 是个_NT_TIB 结构 +0x18 *teb==fs:[0] +0x30 *peb _NT_T 阅读全文

摘要： 1.动态tls介绍 windows为每个进程分配一组线程本地存储的标记. 至少有64个标记,如果程序使用超过了64个将动态增长. 这些标记有2种状态: free和inuse. 所有标记的状态对该进程中所有线程都是可见的. 程序中每个线程会对应每个标记一个slot,这个slot是个lpvoid的值 程 阅读全文

摘要： 未完待续 阅读全文

摘要： 1.简介 最经典的注入方式, 容易实现但是监控LoadLibrary系列函数即可 还可以注入中转,如先将模块注入到系统进程中,利用系统进程再次注入到目标进程,然后从系统进程卸载掉模块 2.代码 阅读全文

摘要： 1.简介 消息钩子注入. 对有窗口的进程. 容易被检测SetWindowsHookExW的参数1如果空,则卸载钩子 2.代码 未完待续... 阅读全文