木马病毒你需要知道的15个技术点。

公众号:小道安全
• 阅读 1281

木马病毒方式1:模块通过三方签名过杀毒检测,注册表进行开机启动,通过url进行数据传递,释放不同exe或者文件进行木马功能,感染的dll数据会通过加密,会通过注入explorer.exe,services.exe,spoolsv.exe进行功能实现。

木马病毒方式2: 通过向系统进程services.exe, explorer.exe,svchost.exe注入恶意代码。

木马病毒方式3:木马配置文件通过网站不断下载,通过执行配置文件来创建svchost.exe傀儡进程。

木马病毒方式4:扫描随机ip的电脑,扫描局域网相同网段机器进行病毒感染,通过创建服务SetServiceStatus进行开机自启动功能,对开放的端口进行扫描。

木马病毒方式5:通过伪装html文件去执行病毒功能, 把木马功能伪装成为图片,让那个用户去点击以此来启动功能。通过启动notepad.exe傀儡进程进行木马功能实现。

木马病毒方式6:将将木马程序伪装成为 后缀为jpg的图片文件,伪装成一个无效的快捷键方式,通过注册表来判断木马功能是否实现,通过记录键盘来盗窃账号信息。

木马病毒方式7:通过apc方式注入到系统services.exe进程。

木马病毒方式8:通过伪装成后缀为bat文件进行实现木马功能。伪装成为后缀为vbs文件进行木马功能。

木马病毒方式9:通过创建隐藏文件来执行木马功能。创建伪装成为后缀为lnk(快捷方式)进行执行。

木马病毒方式10:偷偷关闭系统防火墙,伪装成为假qq以此盗窃账号信息。

木马病毒方式11:自启动ie浏览器进程,往ie注入代码。通过U盘数据进行病毒传播,注入恶意shellcode

木马病毒方式12:会将模块隐藏并将后缀伪装成为tmp的(如:xxx.tmp),修改系统模块功能。通过hook技术进行实现功能实现。

木马病毒方式13:释放木马模块,设置LSP注入。通过创建Mutex实现只创建一个实例。

木马病毒方式14: APC注入实现木马模块注入。通过修改注册表来实现任务管理器不能启动。

木马病毒方式15:通过修改host文件劫持导航,安全软件配置文件,浏览器配置文件来实现锁定主页,通过创建svchost.exe傀儡进程进行操作功能。

检测防范思考:可以通过检测开机启动项进去木马功能检测, 端口网络可以使得木马收集的信息或者需要下载的病毒无法进行。

欢迎关注 “小道安全” 公众号,一起学习,一起进步。

点赞
收藏
评论区
推荐文章
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
Wesley13 Wesley13
1年前
java将前端的json数组字符串转换为列表
记录下在前端通过ajax提交了一个json数组的字符串,在后端如何转换为列表。前端数据转化与请求varcontracts{id:'1',name:'yanggb合同1'},{id:'2',name:'yanggb合同2'},{id:'3',name:'yang
Stella981 Stella981
1年前
ASMSupport教程4.9 生成三元运算符
<p这节我们介绍如何用ASMSupport生成三元运算符(...?...:...)运算符。我们预计生成如下代码:</p<divid"scid:9D7513F9C04C4721824A2B34F0212519:935e30cc33214e0093ba9834f3a4e044"class"wlWriterEditableS
Wesley13 Wesley13
1年前
MySQL查询按照指定规则排序
1.按照指定(单个)字段排序selectfromtable_nameorderiddesc;2.按照指定(多个)字段排序selectfromtable_nameorderiddesc,statusdesc;3.按照指定字段和规则排序selec
Stella981 Stella981
1年前
Android蓝牙连接汽车OBD设备
//设备连接public class BluetoothConnect implements Runnable {    private static final UUID CONNECT_UUID  UUID.fromString("0000110100001000800000805F9B34FB");
Wesley13 Wesley13
1年前
PHP中的NOW()函数
是否有一个PHP函数以与MySQL函数NOW()相同的格式返回日期和时间?我知道如何使用date()做到这一点,但是我问是否有一个仅用于此的函数。例如,返回:2009120100:00:001楼使用此功能:functiongetDatetimeNow(){
Wesley13 Wesley13
1年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
helloworld_34035044 helloworld_34035044
5个月前
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
3A网络 3A网络
2个月前
开发一个不需要重写成 Hive QL 的大数据 SQL 引擎
开发一个不需要重写成HiveQL的大数据SQL引擎学习大数据技术的核心原理,掌握一些高效的思考和思维方式,构建自己的技术知识体系。明白了原理,有时甚至不需要学习,顺着原理就可以推导出各种实现细节。各种知识表象看杂乱无章,若只是学习
3A网络 3A网络
2个月前
理解 virt、res、shr 之间的关系(linux 系统篇)
理解virt、res、shr之间的关系(linux系统篇)前言想必在linux上写过程序的同学都有分析进程占用多少内存的经历,或者被问到这样的问题——你的程序在运行时占用了多少内存(物理内存)?通常我们可以通过t
公众号:小道安全
公众号:小道安全
Lv1
擅长各种安全开发逆向破解黑客技术,欢迎交流技术。
8
文章
0
粉丝
1
获赞