1pe檔案與免殺思路
a移動pe檔案頭
判斷pe檔案有效性漏洞:
一般會認為size of optional header的必定是0xe0
導致有人未必讀取它的值以確定實際的大小。
我們通過將其移動到dos stub中,然後修改被忽略的size of optional header
b匯入表移動免殺
通過修改指向匯出表具體專案的thunkvalue並移動這個具體專案。
2pe檔案與反啟發式掃瞄
a最後乙個區段為**段。這會引發「異常的入口點」。會引起啟發式掃瞄引擎的注意。
b可疑的區段頭部屬性
**段可寫,資料段可執行。。。
蠕蟲感染檔案只有三種方案:
a增加新的可執行區段
b現在**段插入惡意**
c穿插到不同區段,並修改相應區段屬性
c可疑的pe選項頭的有效尺寸值
d可疑的**節名稱
e多個pe頭部
f匯入表項存在可疑匯入
a無效匯入表
b匯入方式可疑:對於系統api使用基於序號的匯入方式,or使用偏移呼叫api
c匯入函式可疑,匯入了完成某個特定惡意行為的api序列或程式內部包含有相關api函式的名稱。
3隱藏匯入表
a異或加密
b匯入表單項移除(n種哈)
a對應iat刪掉(會導致其後所有的dll匯入函式失效)
b在啟動初期用正確的值填充iat(需要用到loadlibrary和getprocaddress這兩個api函式,當然還有其它更複雜的辦法不需要匯入這兩個api函式)
書中給出了淺顯的例子和詳盡的說明。p168
c重構匯入表
d利用hook方式打亂其呼叫等
第八章 檔案操作
第八章 檔案操作 1 檔案 基於檔案描述符的i o操作是通過檔案描述符對乙個檔案執行i o操作 檔案描述符 用於描述被開啟檔案的索引值 1 檔案型別 普通檔案 文字和二進位制 目錄檔案 存放檔名及其相關資訊的檔案,是核心組織檔案系統的基本節點 裝置檔案 外部裝置看作是特殊的檔案,包括塊裝置檔案和字元...
第八章知識點
dom操作分為dom core,html dom和css dom三種操作型別 使用css 方法可以為元素新增樣式,使用addclass 方法為元素追加類樣式,使用removeclass 方法可以移除樣式 使用toggleclass 方法可以切換樣式 使用html 方法可以獲取或設定元素的html 使...
第八章 小知識 異常捕獲
目錄!小細節 什麼是異常 執行出錯會導致異常 異常發生後如果沒有解決方案則會到底整個程式結束 異常三個重要組成部分 1.traceback 翻到最下面從下往上的第乙個藍色字型滑鼠左鍵點選即可跳轉到錯誤的 所在的行 2.error 錯誤的型別 3.錯誤型別冒號後面的內容 錯誤的詳細原因 很重要 仔細看...