恶意代码分析实战-启动一个恶意的DLL
发布时间:2020-12-14 02:37:53 所属栏目:Windows 来源:网络整理
导读:如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以可以用rundll32启动该恶意代码 恶意的DLL在DLLMain(称作DLL函数入口点)执行它们的代码,因为无论DLL什么时候加载,DLLMain函数总会执行,这样就能通过rundll32.exe加载DLL。 方法1:C:&;rundll32.exe rip.dll,Install 方法2:恶意代码也可以通过序号来导出函数,也就是说,导出函数只有一个序号,而没有函数名。 在前面加#号字符即可实现。 C:&;rundll32.exe xyzzy.dll,#5 方法3:从IMAGE_FILE_HEADER的特征域里擦除IMAGE_FILE_DLL(0x2000)标记。这样的改变不会执行任何输入函数,但它会调用DLLMain方法,而且有可能造成恶意代码意想不到的崩溃或者终止。 只要能使恶意代码执行恶意部分为分析收集到信息就是目的。 PE结构位置: struct IMAGE_NT_HEADERS NtHeader E8h F8h Fg: Bg:0xFFE0FF struct IMAGE_FILE_HEADER FileHeader ECh 14h Fg: Bg:0xFFE0FF struct FILE_CHARACTERISTICS Characteristics FEh 2h Fg: Bg:0xFFE0FF WORD WORD IMAGE_FILE_DLL : 1 1 FEh 2h Fg: Bg:0xFFE0FF 0x2000 File is a DLL (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- windows – 批处理脚本传递多个参数进行调用
- CouchDB延迟构建索引(Windows Server 2008 R2上的CouchDB 1
- WiX,Windows Installer摘要?
- Windows下的2017 最新版 MyEclipse启动出现:a java runtim
- .net – 我们可以在Windows中更改事件路由策略吗?
- 创建Windows服务以打开程序 – Delphi
- windows-server-2008-r2 – RemoteApp .rdp嵌入信用卡?
- .Net DateTime到DOS日期32位转换
- windows – 无需登录即可在系统启动时启动应用程序
- .net – 在WPF中,如何从包含ListBox的DataTemplate内部数据
推荐文章
站长推荐
- .net – 如何用对称密钥配置MIcrosoft JWT?
- RDP相当于SSH端口转发?
- Windows 7 – 如何在Windows 7任务调度程序中使用
- windows-server-2003 – Windows / IIS主机::多少
- windows-7 – 为什么mkdir偶尔会拒绝访问?
- 如何解决dllhost进程消耗CPU100%的问题
- windows-7 – 如何在Windows 7中使用MaraDNS解析
- win10 spark+scala+eclipse+sbt 安装配置
- windows – Powershell相当于Ctrl R?
- powershell – 如何更改我键入的字符串值的颜色?
热点阅读