rootkit是計算機病毒裡比較高階的型別。通常是指計算機病毒裡隱匿能力最強的病毒。
使用者層rootkit的執行特點是執行之後不退出、不建立其他程序,程序行為幾乎完全模仿正常程式。普通方法很難察覺到它們的病毒目的。
這類病毒的目的多是:
1.密碼竊取病毒
會進行密碼爆破,cookie偷取,鍵盤記錄,dns列舉,長期藏匿於電腦中一旦得手就給遠端伺服器連線。
2.感染型病毒
hookapi,**量小,普通使用者短時間內難以察覺。api捕獲或者靜態分析一般無效,因為大多是彙編寫的經典**。可以看改變檔案的時間戳,或者用apihook的掃瞄工具檢測哪些檔案操作api被hook了。
rootkit一般都不會提公升自身程序許可權為sedebugpriviledge許可權(當然也有)
下面每個編號代表不同檔案的rootkit,我們會分別介紹下分析它們rootkit時會用到的強大的工具。
netuserenum函式檢索伺服器上所有使用者帳戶的資訊,並動態解密出dnsapi.dll進行dns查詢和並嘗試進行網路共享資源連線。
使用processmonitor也可以清晰看到進行dns查詢。
26.dll
什麼是惡意軟體分析?定義和概述惡意軟體分析過程
惡意軟體分析是了解惡意軟體如何運作以及給定惡意軟體的任何潛在影響的過程。惡意軟體 可以根本不同,知道惡意軟體可以具有許多功能是必要的。這些可能以病毒,蠕蟲,間諜軟體和特洛伊木馬的形式出現。每種型別的惡意軟體在使用者不知情或未授權的情況下收集有關受感染裝置的資訊。用於惡意分析的案例 計算機安全事件管理...
惡意軟體分析實踐指南 解剖惡意軟體 PDF格式
惡意軟體分析是大生意,並攻擊可以成本公司損失慘重。當惡意破壞你的防守,你需要採取迅速 目前的感染和防止未來危機的發生。對於那些誰想要保持在最新的惡意軟體,實用的惡意軟體分析會教你使用的工具和技術,由專業人士。以此為您的旅遊手冊,你將能夠安全地分析,除錯,和拆卸任何惡意軟體的方式來。您將學習如何 建立...
SNDBOX 應用AI進行惡意軟體分析
在2018歐洲黑帽 blackhat europe 大會上,一款使用人工智慧和加固的虛擬環境對惡意軟體樣本進行分析的惡意軟體分析服務sndbox www.sndbox.com 出現了,sndbox可以對惡意軟體進行靜態 動態分析以及網路流量等分析。bleepingcomputer研究人員測試上傳了乙...