计算机病毒、蠕虫、木马、后门等恶意代码的分类Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常使用,有些必然使用。
常用的恶意代码功能技术如下:过程遍历、文件遍历、按键记录、后门、桌面截屏、文件监控、自删除、U盘监控。知己知彼,百战不殆。旨在为反病毒工程师提供参考。请绕过病毒作者。
计算机上所有流程的信息(用户流程、系统流程)通常是为了检索受害者流程,检测虚拟机中是否运行,是否有软杀等,有时反调试技术也会检测流程名称。因此,在恶意代码中经历过程是很常见的。
具体流程:
1、调用CreateToolhelp32Snapshot获取所有过程的快照信息之所以被称为快照,是因为它保存了以前的信息,这个函数返回到过程的快照句柄。
2、调用Process32First获取第一个过程的信息,保存返回的过程信息PROCESSENTRY在32结构中,函数的第一个参数是CreateToolhelp32Snapshot返回快照句柄。
3、循环调用Process32Next从进程列表中获取下一个进程的信息,直到Process32Next函数返回FALSE,GetLastError的错误码为ERROR_NO_MORE_FILES,然后是遍历结束。
4.关闭快照句柄,释放资源
遍历线程和过程模块的步骤与上述步骤相似,使用线程遍历Thread32First和Thread32Next,使用模块遍历Module32First和Module32Next。
源码实现:
#include "EnumInfo.h"void ShowError(char *lpszText){ char szErr[MAX_PATH]={0}; ::wsprintf(szErr, "%s Error[%d]\
", lpszText, ::GetLastError());#ifdef _DEBUG ::MessageBox(NULL, szErr, "ERROR", MB_OK);#endif}BOOL EnumProcess(){ PROCESSENTRY32 pe32 ={ 0 }; pe32.dwSize = sizeof(PROCESSENTRY32); // 获取全过程快照 HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (INVALID_HANDLE_VALUE == hProcessSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Process32First(hProcessSnap, &pe32); while (bRet){ // 显示 Process ID printf("[%d]\ ", pe32.th32ProcessID); // 显示 进程名称 printf("[%s]\
", pe32.szExeFile); // 在快照中获取下一条信息 bRet = ::Process32Next(hProcessSnap, &pe32); }// 关闭句柄 ::CloseHandle(hProcessSnap); return TRUE;}BOOL EnumThread(){ THREADENTRY32 te32 ={ 0 }; te32.dwSize = sizeof(THREADENTRY32); // 获取所有线程快照 HANDLE hThreadSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if (INVALID_HANDLE_VALUE == hThreadSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Thread32First(hThreadSnap, &te32); while (bRet){ // 显示 Owner Process ID printf("[%d]\ ", te32.th32OwnerProcessID); // 显示 Thread ID printf("[%d]\
", te32.th32ThreadID); // 在快照中获取下一条信息 bRet = ::Thread32Next(hThreadSnap, &te32); }// 关闭句柄 ::CloseHandle(hThreadSnap); return TRUE;}BOOL EnumProcessModule(DWORD dwProcessId){ MODULEENTRY32 me32 ={ 0 }; me32.dwSize = sizeof(MODULEENTRY32); // 获取指定过程中所有模块的快照 HANDLE hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId); if (INVALID_HANDLE_VALUE == hModuleSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Module32First(hModuleSnap, &me32); while (bRet){ // 显示 Process ID printf("[%d]\ ", me32.th32ProcessID); // 显示 模块加载基址 printf("[0x%p]\ ", me32.modBaseAddr); // 显示 模块名称 printf("[%s]\
", me32.szModule); // 在快照中获取下一条信息 bRet = ::Module32Next(hModuleSnap, &me32); }// 关闭句柄 ::CloseHandle(hModuleSnap); return TRUE;}
几乎所有恶意代码都需要文件操作,木马病毒窃取机密文件,然后打开一个秘密端口,(之前在kali事实上,有一个简单的方法可以看到有人问如何识别木马。几乎所有的木马都必须与攻击者的主机进行通信,以查看打开了哪些奇怪的端口)。
就算是再R也经常创建写入读取文件,经常使用文件功能。
就算是再R写入读取文件经常被创建,文件功能经常被使用。文件搜索功能主要是通过调用FindFirstFile和FindNextFile来实现。
具体流程1、调用FindFirstFile函数,函数接收文件路径,第二个参数指向WIN32_FIND_DATA结构指针。若函数成功,则返回搜索句柄。该结构包括文件名称、创建日期、属性、大小等信息。
返回结构中的成员dwFileAttributes为FILE_ATTRIBUTE_DIRECTORY返回是目录,否则是文件cFileName获取搜索到的文件名称。如果需要再次搜索目录下的所有子目录文件,则需要判断文件属性。如果文件属性目录,则继续递归搜索,搜索其目录下的目录和文件。
2、调用FindNextFile搜索下一个文件,判断是否根据返回值搜索文件,如果没有,则文件遍历结束。
3.搜索后,调用FindClose关闭搜索句柄,释放资源缓冲区资源。
源码实现:#include "stdafx.h"#include "FileSearch.h"void SearchFile(char *pszDirectory){ // 搜索指定类型的文件 DWORD dwBufferSize = 2048; char *pszFileName = NULL; char *pTempSrc = NULL; WIN32_FIND_DATA FileData ={0}; BOOL bRet = FALSE; // 申请动态内存 pszFileName = new char[dwBufferSize]; pTempSrc = new char[dwBufferSize]; // 构建搜索文件类型字符串, *.*这意味着搜索所有文件类型 ::wsprintf(pszFileName, "%s\\\\*.*", pszDirectory); // 搜索第一个文件 HANDLE hFile = ::FindFirstFile(pszFileName, &FileData); if (INVALID_HANDLE_VALUE != hFile){ do{ // 要过滤掉 当前目录"." 和 上一层目录"..", 否则,它将继续进入死循环 if ('.' == FileData.cFileName[0]){ continue; }// 拼接文件路径 ::wsprintf(pTempSrc, "%s\\\\%s", pszDirectory, FileData.cFileName); // 判断是目录还是文件 if (FileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY){ // 目录, 继续向下递归遍历文件 SearchFile(pTempSrc); }else{ // 文件 printf("%s\
", pTem
pS
电脑知识
