关于一些类病毒隐藏技术的设想
线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在\windows则放到\system(32)中, 反之亦然.在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction由于是"设想", 所以没给出代码, 希望理解
线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在\windows则放到\system(32)中, 反之亦然.在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction由于是"设想", 所以没给出代码, 希望理解
解决方案 »
- dephi中有没有能找出字符在某字符串中出现第N次的位置的函数?
- delphi2005中怎么report啊?
- 求救TDateTimePicker出错
- 怎样才能将别的程序(比如说IE)中的文本拖到自己程序的文本输入框中?
- 怎么得到日期中的天数,月份,单独要 不要2003-7-1这种得,我只要得到7这样
- 如何解决数据断电保存问题
- 我想从0开始学习Delphi,我没有任何语言基础!该怎么学?
- 關于delphi+ado+access安裝程序的制作方法﹖急急急﹗﹗﹗
- 请问如何将flash动态图片放入delphi的form中?
- 谁有例子:在状态条上放置一个进度条?
- 在线等待-100分 问几个很菜的问题(每个25分啊)
- 怎樣在窗口中捕捉鼠標消息(mousemove)?
宠辱不惊,看庭前花开花落,去留无意;毁誉由人,望天上云卷云舒,聚散任风。
—————————————————————————————————