- 分析木馬,病毒,主要是要分析出該exe的流程,一般通過網上找資料,IDA逆向,主要通過分析出行程中的網址、收資訊的地址,驗證下檔案或exe是否是pe結構,
- 分析盜號木馬或者病毒,一般可以通過木馬或病毒的接收服務器已經本地保存的進行入手分析整個的流程,盜號的一般都是用LSP注入方式(注冊表注入),
- 遠控木馬和最近非常流行的白加黑遠控木馬存在較大的差異,最近發現的白加黑遠控最大的特點就是利用了系統檔案rundll32.exe檔案外加一個黑的dll檔案,在傳播方面至少需要三個檔案,分別是rundll32.exe、黑DLL檔案、黑dat檔案,但是此遠控木馬只有一個exe檔案,并且利用了暴風有效數字簽名的檔案;其它檔案都是通過釋放的方式添加到用戶電腦,這在傳播方面要較白加黑方便很多,
- 分析木馬,病毒或者外掛,可以通過dump方式來分析,這樣才是真實的資料,還有可以通過下發送訊息或者讀寫資料的API斷點,
- 通過釋放驅動的方式,和驅動檔案組合的形式對抗安全軟體行程,一方面通過多種方式對系統進行破壞,導致系統無法正常使用;另一方面通過和驅動的組合方式,和安全軟體進行惡意對抗,結束眾多安全軟體行程,
更多安全相關的文章請關注我公眾號
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/242348.html
標籤:其他
上一篇:關于運行VMware等虛擬機導致win10藍屏死機(終止代碼:SYSTEM_SERVICE_EXCEPTION)
下一篇:CSDN插件超級贊啊!!!!