随笔分类 - 计算机病毒
摘要:DLL劫持病毒 实验目的 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 实验原理 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录中搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表中的键值决定,注册表路径如下:HKLM\System\C
阅读全文
摘要:PE病毒分析 准备工作 [1]. Filemon等软件监控laborDayVirus病毒行为,观察文件、注册表、进程的变化 FileMon和RegMon的界面设置: 字体:Option-Font(选项-字体) 禁止自动滚动 监控前清空屏幕记录 FileMon和RegMon的过滤设置 “Filter”
阅读全文
摘要:PE文件解析 自制PE文件 参与作者:YZDYDD PE(Portable Executable)∶Windows平台主流的可执行文件格式,它衍生于COFF(Common Object File Format)文件格式,微软希望PE能够适用于所有Windows系统和CPU平台 Windows系统中e
阅读全文
摘要:VBScript脚本病毒分析与清除 【实验目的】 了解VBScript如何实现文件、进程及注册表操作 了解VBScritp病毒的工作原理 了解VBScritp病毒的感染目标和感染方式 掌握编写VB脚本病毒专杀工具的一般方法 【实验原理】 了解VBScript语法(可查询“微软VbScript手册vb
阅读全文
摘要:反汇编工具的使用 【实验目的】 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG分析修改可执行文件的方法 【实验原理】 1OD界面 **反汇编窗口:**显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 **寄存器窗口
阅读全文
摘要:病毒行为监控 搭建病毒分析实验室 虚拟机设置(自己的电脑上必须设置) 如果能使用其他方式实现文件复制进虚拟机可以跳过,从虚拟机断网开始 (1) 在真实机中 设置受限文件夹 下面示例为windows 2003通过组策略编辑器设置受限文件夹 运行gpedit.msc 依次选择“计算机配置”-->“win
阅读全文
摘要:注册表操作 (1)强制隐藏.exe文件的扩展名 注册表项:HKEY_CLASS_ROOT\exefile, 新建字符串值:取名为NeverShowExt。 重启计算机 可见exe后缀确实没有显示,而其他的dll能正常显示。 (2)隐藏“文件夹选项”子菜单项 原本是可以有文件夹选项子菜单的 注册表
阅读全文
