u盘恶意代码实验-()

来源:191路由网 2022-12-28 20:02:55

()

计算机病毒、蠕虫、木马、后门等恶意代码的分类Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常使用,有些必然使用。

常用的恶意代码功能技术如下:过程遍历、文件遍历、按键记录、后门、桌面截屏、文件监控、自删除、U盘监控。知己知彼,百战不殆。旨在为反病毒工程师提供参考。请绕过病毒作者。

进程遍历

计算机上所有流程的信息(用户流程、系统流程)通常是为了检索受害者流程,检测虚拟机中是否运行,是否有软杀等,有时反调试技术也会检测流程名称。因此,在恶意代码中经历过程是很常见的。

具体流程:

1、调用CreateToolhelp32Snapshot获取所有过程的快照信息之所以被称为快照,是因为它保存了以前的信息,这个函数返回到过程的快照句柄。

2、调用Process32First获取第一个过程的信息,保存返回的过程信息PROCESSENTRY在32结构中,函数的第一个参数是CreateToolhelp32Snapshot返回快照句柄。

3、循环调用Process32Next从进程列表中获取下一个进程的信息,直到Process32Next函数返回FALSE,GetLastError的错误码为ERROR_NO_MORE_FILES,然后是遍历结束。

4.关闭快照句柄,释放资源

遍历线程和过程模块的步骤与上述步骤相似,使用线程遍历Thread32First和Thread32Next,使用模块遍历Module32First和Module32Next。

源码实现:

#include "EnumInfo.h"void ShowError(char *lpszText){ char szErr[MAX_PATH]={0}; ::wsprintf(szErr, "%s Error[%d]\ ", lpszText, ::GetLastError());#ifdef _DEBUG ::MessageBox(NULL, szErr, "ERROR", MB_OK);#endif}BOOL EnumProcess(){ PROCESSENTRY32 pe32 ={ 0 }; pe32.dwSize = sizeof(PROCESSENTRY32); // 获取全过程快照 HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (INVALID_HANDLE_VALUE == hProcessSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Process32First(hProcessSnap, &pe32); while (bRet){ // 显示 Process ID printf("[%d]\ ", pe32.th32ProcessID); // 显示 进程名称 printf("[%s]\ ", pe32.szExeFile); // 在快照中获取下一条信息 bRet = ::Process32Next(hProcessSnap, &pe32); }// 关闭句柄 ::CloseHandle(hProcessSnap); 电脑 return TRUE;}BOOL EnumThread(){ THREADENTRY32 te32 ={ 0 }; te32.dwSize = sizeof(THREADENTRY32); // 获取所有线程快照 HANDLE hThreadSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if (INVALID_HANDLE_VALUE == hThreadSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Thread32First(hThreadSnap, &te32); while (bRet){ // 显示 Owner Process ID printf("[%d]\ ", te32.th32OwnerProcessID); // 显示 Thread ID printf("[%d]\ ", te32.th32ThreadID); // 在快照中获取下一条信息 bRet = ::Thread32Next(hThreadSnap, &te32); }// 关闭句柄 ::CloseHandle(hThreadSnap); return TRUE;}BOOL EnumProcessModule(DWORD dwProcessId){ MODULEENTRY32 me32 ={ 0 }; me32.dwSize = sizeof(MODULEENTRY32); // 获取指定过程中所有模块的快照 HANDLE hModuleSnap 电脑 = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId); if (INVALID_HANDLE_VALUE == hModuleSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Module32First(hModuleSnap, &me32); while (bRet){ // 显示 Process ID printf("[%d]\ ", me32.th32ProcessID); // 显示 模块加载基址 printf("[0x%p]\ ", me32.modBaseAddr); // 显示 模块名称 printf("[%s]\ ", me32.szModule); // 在快照中获取下一条信息 bRet = ::Module32Next(hModuleSnap, &me32); }// 关闭句柄 ::CloseHandle(hModuleSnap); return 电脑 TRUE;}


文件遍历

几乎所有恶意代码都需要文件操作,木马病毒窃取机密文件,然后打开一个秘密端口,(之前在kali事实上,有一个简单的方法可以看到有人问如何识别木马。几乎所有的木马都必须与攻击者的主机进行通信,以查看打开了哪些奇怪的端口)。

就算是再R也经常创建写入读取文件,经常使用文件功能。

就算是再R写入读取文件经常被创建,文件功能经常被使用。文件搜索功能主要是通过调用FindFirstFile和FindNextFile来实现。

具体流程

1、调用FindFirstFile函数,函数接收文件路径,第二个参数指向WIN32_FIND_DATA结构指针。若函数成功,则返回搜索句柄。该结构包括文件名称、创建日期、属性、大小等信息。

返回结构中的成员dwFileAttributes为FILE_ATTRIBUTE_DIRECTORY返回是目录,否则是文件cFileName获取搜索到的文件名称。如果需要再次搜索目录下的所有子目录文件,则需要判断文件属性。如果文件属性目录,则继续递归搜索,搜索其目录下的目录和文件。

2、调用FindNextFile搜索下一个文件,判断是否根据返回值搜索文件,如果没有,则文件遍历结束。

3.搜索后,调用FindClose关闭搜索句柄,释放资源缓冲区资源。

源码实现:#include "stdafx.h"#include "FileSearch.h"void SearchFile(char *pszDirectory){ // 搜索指定类型的文件 DWORD dwBufferSize = 2048; char *pszFileName = NULL; char *pTempSrc = NULL; WIN32_FIND_DATA FileData ={0}; BOOL bRet = FALSE; // 申请动态内存 pszFileName = new char[dwBufferSize]; pTempSrc = new char[dwBufferSize]; // 构建搜索文件类型字符串, *.*这意味着搜索所有文件类型 ::wsprintf(pszFileName, "%s\\\\*.*", pszDirectory); // 搜索第一个文件 HANDLE hFile = ::FindFirstFile(pszFileName, &FileData); if (INVALID_HANDLE_VALUE != hFile){ do{ // 要过滤掉 当前目录"." 和 上一层目录"..", 否则,它将继续进入死循环 if ('.' == FileData.cFileName[0]){ continue; }// 拼接文件路径 ::wsprintf(pTempSrc, "%s\\\\%s", pszDirectory, FileData.cFileName); // 判断是目录还是文件 if (FileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY){ // 目录, 继续向下递归遍历文件 SearchFile(pTempSrc); }else{ // 文件 printf("%s\ ", pTempSrc); }




电脑
点击展开全文

相关阅读

u盘怎么改ahci-(U盘怎么改名字)

(U盘子怎么改名字?目前的M.接口已完全转向PCI-E3.0x4通道。普通SATA接口SSD固态硬盘和机械硬盘不需要跟随高体验Windows安装系统。普通SATA和机械硬盘win7是以前的原版ios镜像安装方法(但是网上那些ghost不需要安装系统,大部分电脑城、卖...

2022-12-28

u盘恶意代码实验-()

()计算机病毒、蠕虫、木马、后门等恶意代码的分类Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot)、Exploit等等,有些技术经常使用,有些必然使用。常用的恶意代码功能技术如下:过程遍历、文件遍历、按键记录、后门、桌面截屏、文件监控、自删除、U盘监控。知己知...

2022-12-28

win1如何通过u盘启动-(win怎么u盘启动)

(win如何启动u盘?如果计算机遇到系统异常问题,必须重新安装。启动u盘重新安装系统是最快的方式,但仍有一些朋友不知道如何启动u盘重新安装系统。以下小边将与您分享启动u盘重新安装系统的教程电脑图。工具/原料:系统版本:win7旗舰版品牌型号:...

2022-12-28

u盘制作启动项失败-(u盘制作启动项失败怎么办)

(u盘制作启动项失败怎么办)大家随便在搜索引擎上搜索“U盘装系统”,就能轻松找到数种重装系统的方法。不过你也会发现,虽然方法众多,但大家需要下载系统镜像、软件工具,学习软件使用方法,有的甚至需要你了解基础DOS命令,门槛相对较高。我尝试了多种重装系统方法,最终选出U盘装系统终极教程。...

2022-12-28

win10一直需要账号密码错误-(win10一直需要账号密码错误怎么回事)

(win10一直需要账号密码错误怎么回事)Windows10访问局域网共享老是提示用户名或密码错误不正确,保证密码没有输入错误,局域网其他非Windows10操作系统电脑能正常访问此台电脑的共享,一般出现这种...

2022-12-28

191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程

版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除