恶意代码特征

亡梦爱人 提交于 2020-01-22 09:33:21

0x01加壳
判断方法:
1.节区名字
2.熵  加过壳的可执行文件有的节区为空熵等于0,可能所有数据全在一个一个节区里(大于0-7)

0x02行为
探查行为
FindFirstFile() FindNextFile()获取特定目录中所有文件列表
Process32First() Process32Next()获取当前系统中运行的进程列表
 函数存在于kernel32.dll
攻击行为
1.进程创建
创建进程,运行攻击命令,进程名修改为类似系统正常进程.或者远程下载恶意代码  CreateProcess()
2.文件处理
创建恶意文件运行所需的新文件,伪造删除特定文件 CreateFile() ReadFile() WriteFile() DeleteFile()
3.钩取
拦截系统设备或进程间通信的信息,事件. SetWindowsHookEx()

通信行为
WSASocket(),bind(),connect(),listen(),send(),recv() wsock32.dll es2_32.dll
InternetOpenUrl()等               wininet.dll

隐匿行为
Rootkit技术使用API SetwindowsHHookEx(),VirtualAllocEx(),CreateRemoteThread(),OpenProcess(),LoadLibrary() kernel32.dll

创建新的windows服务函数CreateService()将自身注册为服务用于自启  advapi.dll

自我保护
防止被逆向
调用API: IsDebuggerPresent(),CheckRemoteDebuggerPresent()检查当前是否有调试器运行

0x03字符串

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!