面对日益猖獗的木马,以及杀木马软件的收费,本人也打算写一款免费的杀木马软件了。请问各位高人。要准备些什么技术啊?
解决方案 »
- 请教DELPHI XE3里怎么才能让structure窗口中的目录不会自动展开?
- 跑跑卡丁车的声音资源怎么提取啊
- 非delphi问题,上网一段时间后,屏幕显示慢了,是咋的?
- 怎样可以使能预览时显示的内容 而打印时可以不打印?
- BIG5-->GBK的汉字转换
- 我用ShellExeCute启动一个程序,怎么这个程序总找不到INI文件啊?
- 如何根据子窗口的标题获得句柄?
- 刚刚得知CET-4成绩已经通过,特来散分!
- 一对主细表,删掉主表一条记录,怎么自动删掉从表的相关记录呀,不要用触发器,不用直接运行sql
- listview用法问题,急用!
- 如何用reportbuild做一张分栏的报表
- 怎样在线程中创建 TIdTCPClient 对象进行连接
然后你还需要一个能到达Ring0或者能中止进程、删除任何文件的方法。
这样做出来的反木马引擎才比较健壮,总之是一个繁琐的工作。同时如果你想主动式防御,还需要拦截那些危险的API。比如
远程注入 CreateRemoteThread
键盘Hook SetWindowHook
注入Hook SetWindowHookEx
键盘记录 GetAsyncKeyState
等等,你还可能需要监视注册表的敏感键
开机启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
服务列表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
安全模式可启动的服务列表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot