病毒分析教程第七話 程序注入分析(上)

2021-09-10 21:31:58 字數 1474 閱讀 1875

教程參考自《惡意**分析實戰》

程式來自:

本節實驗使用樣本lab12-01.exe和lab12-01.dll。

在你執行惡意**可執行檔案時,會發生什麼?

lab12-01.exe呼叫了createremotethread、writeprocessmemory等函式,不難想象它進行了程序注入的操作。

檢視該病毒的主體**,果然是執行了程序注入的惡意操作,注入方式是傳統的dll注入。

哪個程序會被注入?

病毒會先遍歷程序列表,篩選出名為explorer.exe的程序。

從此可知惡意**被注入到了explorer.exe程序中。

你如何能夠讓惡意**停止彈出視窗?

被注入後的explorer.exe,每隔一段時間會彈出乙個對話方塊,檢視程序所載入的模組,果然有乙個可疑的lab12-01.dll,這個dll就是注入的惡意**。

要想停止彈出視窗(移除惡意**),僅需在lab12-01.dll模組上右鍵unload,即可達到目的。

這個惡意**樣本是如何工作的?

這個dll先建立乙個執行緒,執行緒函式的位址為0x10001030。

函式0x10001030的功能如下,迴圈建立子執行緒。

每個子執行緒的功能為彈出對話方塊,也就是我們所看到的。

所以,該樣本的總體流程就是,lab12-01.exe採用dll注入的方式,將惡意**注入到explorer.exe中,使explorer.exe被動載入lab12-01.dll,最後執行定時彈出對話方塊的惡意操作。有關dll注入的原理,見:

病毒分析教程第六話 高階病毒分析(中)

教程參考自 惡意 分析實戰 程式來自 本節實驗使用樣本lab11 02.dll和lab11 02.ini。這個惡意dll匯出了什麼?檢視匯出函式視窗,發現除了dllentrypoint函式外還有要給installer函式。使用rundll32.exe安裝這個惡意 後,發生了什麼?為了使這個惡意 正確...

演算法設計與分析 第七周 IPO

4 與改進 第二版4.3第三版 4.4bug版 5源 學習了貪心演算法,隨機選擇了一道題目。貪心演算法的本質即是 每一步都選擇當前最好的點,不一定能夠得到全域性最優解,但一定要得到區域性最優解。結合這道題來考慮,按照貪心演算法的思路,在當前步,我算要考慮的就是我手中所能投資的專案中獲利最大的。有了思...

PMI第七章 掙值分析

ev,earn value 掙得值 pv,plan value 計畫值 ac,實際成本 這三個值都是累計成本!cv,成本偏差,cv ev ac,0表示成本超支。sv,進度偏差,sv ev pv,0表示進度落後,0表示進度超前。這兩個值是絕對值。思考理解 為什麼用錢來表示進度超前和落後?掙值曲線,也叫...