各位好!
本人通过挂接一些网络API(send,recv等),对指定样本能够拦截网络数据;现在又这么一种情况;问题描述: 样本xxx.exe,通过ollydbg分析,发现时动态加载dll,注入到system32下的“系统exe”文件中;(注入到系统exe,并不是重新创建新的进程,所以小弟的createProccess全局挂接也没用呀)这种情况导致我直接Hook样本xxx.exe,未能拦截网络行为。那么如何对该样本注入后的网络行为进行拦截呢?
一些想法:
(1)准备对所有进程实施注入拦截网络行为的dll,但是这样会拦截所有网络数据,包括好多正常网络数据包,假如这种思路可行,如何区分出恶意样本网络行为数据包呢?(2)挂接驱动级(NTAPI)的函数,这样也会导致上面同样的问题呀?问题焦点:
如何从大量网络行为中,获得需要的样本网络行为呢?对上面问题 大家都什么好的解决办法吗?小弟不甚感激呀~
本人通过挂接一些网络API(send,recv等),对指定样本能够拦截网络数据;现在又这么一种情况;问题描述: 样本xxx.exe,通过ollydbg分析,发现时动态加载dll,注入到system32下的“系统exe”文件中;(注入到系统exe,并不是重新创建新的进程,所以小弟的createProccess全局挂接也没用呀)这种情况导致我直接Hook样本xxx.exe,未能拦截网络行为。那么如何对该样本注入后的网络行为进行拦截呢?
一些想法:
(1)准备对所有进程实施注入拦截网络行为的dll,但是这样会拦截所有网络数据,包括好多正常网络数据包,假如这种思路可行,如何区分出恶意样本网络行为数据包呢?(2)挂接驱动级(NTAPI)的函数,这样也会导致上面同样的问题呀?问题焦点:
如何从大量网络行为中,获得需要的样本网络行为呢?对上面问题 大家都什么好的解决办法吗?小弟不甚感激呀~
解决方案 »
- OCX 如何返回字符串?
- 关于对话框类的静态线程函数调用该对话框成员变量
- 一个简单的基于TCP的多线程聊天程序
- 拷贝别人的问题 “请问能够动态更改FORMVIEW对应的资源ID号吗??既可以根据自己的选择,任意更改界面显示的控件”
- vc中使用flash的问题。
- 请问如何管理多线程?VC6中可以用线程池吗?
- 怎么样注册系统热键?(类似金山词霸,按热键即打开界面)
- 有谁知道?关于执行VC指令的时间数量级
- 我是新手,帮帮我!请问如何载入分割SDI文档窗口的资源???急!
- 我有一个程序需要做!是用来黑网吧用的!
- CB_ADDSTRING 与LB_ADDSTRING的区别?
- 高分请教 怎么在对话框中使用 combo box 控件?
应该在注入前拦截。