关于一些类病毒隐藏技术的设想
线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在\windows则放到\system(32)中, 反之亦然.在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction由于是"设想", 所以没给出代码, 希望理解
线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在\windows则放到\system(32)中, 反之亦然.在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction由于是"设想", 所以没给出代码, 希望理解
宠辱不惊,看庭前花开花落,去留无意;毁誉由人,望天上云卷云舒,聚散任风。
—————————————————————————————————