隐蔽的恶意代码启动


知识点

启动器:启动器,也称为加载器,是一种设置自身或者其他恶意代码片段以到达即时或将来秘密运行的恶意代码。启动器经常回在资源节包含要加载的恶意代码。如果资源节被压缩或者加密,则恶意代码必须在加载前对资源节进行提取操作,因此可以在代码中看到FindResourceLoadResource、以及SizeofResource等API函数。恶意代码通常需要管理员权限才能进行下面介绍的操作。

进程注入:隐藏启动行为的最流行的技术是进程注入,这是一种将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入地代码。执行进程注入通常用到如下API:VirtualAllocEx用来分配一块内存空间、WriteProcessMemory用来想之前分配地地址空间内写入数据。

DLL注入:DLL注入是进程注入地一种形式,它强迫一个远程进程加载DLL程序,同时它也是最常使用地的隐秘加载技术。DLL注入将代码注入到一个远程进程并让远程进程调用LoadLibrary,从而强制远程进程加载一个DLL程序到它的进程上下文,一旦被感染的进程加载了恶意DLL,系统会自动调用DLLMain函数。注入的DLL与被注入DLL的进程拥有相同的权限。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×