隐蔽的恶意代码启动

1、启动器

启动器是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。启动器的目的是安装一些东西,以使恶意行为对用户隐藏。

2、进程注入

隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码。恶意代码编写者试图通过进程注入技术隐藏代码的行为,有时他们也试图使用这种技术绕过基于主机的防火墙和那些针对进程的安全机制。

DLL注入:是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术。

直接注入:同DLL注入一样,直接注入也涉及在远程进程的内存空间中分配和插入代码。

进程替换:除了注入代码到一个宿主程序外,一些恶意代码还会使用一种被称为进程替换方法,将一个可执行文件重写到一个运行进程的内存空间。当恶意代码编写者想要将恶意代码伪装成一个合法进程,并且不会产生DLL注入让进程崩溃的危险时,他们会使用进程替换技术。

   钩子注入:钩子注入是一种利用windows钩子加载恶意代码的方法,恶意代码用它拦截发往某个应用程序的消息。

   Detours:

   APC注入:windows的异步过程调用(APC)可以满足这种要求。

时间: 2024-10-27 17:29:49

隐蔽的恶意代码启动的相关文章

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

Exp4 恶意代码分析

Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (1)我们可以使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果受到怀疑的恶意代码启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析. (2)我们可以通过在windows下建立一个监测本机连接ip地址的任务计划程序,不定时的查看一下电脑都在什么时候连了网干了什么,如果在你觉得自己的电脑没有联网

恶意代码功能与应对

五.恶意代码功能 (一)恶意代码行为 1.下载器和启动器 下载器:通常会与漏洞利用打包在一起,通过调用URLDownloadtoFileA和WinExec两个api来实现下载并运行其他恶意代码 启动器:通常为可执行文件,用来安装立即运行或将来秘密执行的恶意代码,通常包含一段它所运行的恶意代码 2.后门:是攻击者远程访问受害机器 通常由一套通用的功能:操作注册表.列举窗口.创建目录.搜索文件等 通常也会涉及网络通信,最长使用80端口的http协议 (1)反向shell:从被感染的机器上发起一个连接

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

恶意代码分析——动、静态分析基础技术

一.静态分析基础技术 1.可通过用软件计算恶意程序MD5值,然后检索该MD5值来获取信息并作为标签使用  [md5deep  winmd5] 2.通过检索恶意代码字符串获得相应的功能调用解释.功能行为及模块调用.当可检索字符串非常少时,有可能被加壳处理,(注意"LoadLibrary"和"GetProcAddress"两个字符串,它们是用来加载或调用其他函数功能的),此时需要用外壳检测工具进行检测.脱壳处理  [字符串检索:Strings  外壳检测:PEiD] 3

如何给自己编写的程序隐蔽的设置开机启动

比如说,我们自己编写了一个C#的程序,想设置为开机自动启动.当然我们可以从网上找到方法,一般的做法就是修改注册表文件,找到开机启动项,然后把这个程序的路径写入到某个节点就可以.如下截图所示,这些都是开机后会自动启动的程序. 有时候我们可能会有一些很顽皮的想法,我们希望自己程序在别人的电脑上运行的时候,暗地里把自己设置为开机启动.现在就有一些问题,因为现在电脑上都装有杀毒软件,比如说360,你修改注册表开机启动项,属于敏感操作,会被安全卫士拦截,然后提示用户正在有软件试图修改开机启动项,询问用户是

20145207李祉昂《网络对抗技术》恶意代码分析

实验内容 schtasks.Sysmon对电脑进行系统检测,并分析. 对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件. 对恶意软件进行动态分析,使用systracer,以及wireshark分析. 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. schtasks,Sysmon监控 (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. wi

恶意代码分析技术

1.恶意代码分析技术 恶意代码分析有两类方法:静态分析和动态分析.静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术. 1).静态分析技术基础技术 静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术.静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码. 2).动态分析基础技术 动态分析基础技术涉及运行恶意代码并观察系统的行为,以移除感染,产生

20145309 《网络攻防》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增删添改,系统上各类程序和文件的行为记录以及权限,实现网络连接的进程,使用的IP地址和端口号等 使用Schtasks指令.sysmon.TCPView.WireShark等工具 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 首先使用静态分析将其上传至扫描网站.后使用TCPView工具查看正在联网的进程,进行的初步分析,再通过sysmon事件日志,找到怀疑的程