0x01加壳
判断方法:
1.节区名字
2.熵 加过壳的可执行文件有的节区为空熵等于0,可能所有数据全在一个一个节区里(大于0-7)
0x02行为
探查行为
FindFirstFile() FindNextFile()获取特定目录中所有文件列表
Process32First() Process32Next()获取当前系统中运行的进程列表
函数存在于kernel32.dll
攻击行为
1.进程创建
创建进程,运行攻击命令,进程名修改为类似系统正常进程.或者远程下载恶意代码 CreateProcess()
2.文件处理
创建恶意文件运行所需的新文件,伪造删除特定文件 CreateFile() ReadFile() WriteFile() DeleteFile()
3.钩取
拦截系统设备或进程间通信的信息,事件. SetWindowsHookEx()
通信行为
WSASocket(),bind(),connect(),listen(),send(),recv() wsock32.dll es2_32.dll
InternetOpenUrl()等 wininet.dll
隐匿行为
Rootkit技术使用API SetwindowsHHookEx(),VirtualAllocEx(),CreateRemoteThread(),OpenProcess(),LoadLibrary() kernel32.dll
创建新的windows服务函数CreateService()将自身注册为服务用于自启 advapi.dll
自我保护
防止被逆向
调用API: IsDebuggerPresent(),CheckRemoteDebuggerPresent()检查当前是否有调试器运行
0x03字符串
来源:CSDN
作者:九层台
链接:https://blog.csdn.net/qq_38204481/article/details/103906663