关于一些类病毒隐藏技术的设想[转自看雪老论坛]

softboysxp 2003-09-13 09:43:54
关于一些类病毒隐藏技术的设想
线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)

另一通用的方法是HOOK, Windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数Win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.

文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是APIHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码

另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在\windows则放到\system(32)中, 反之亦然.

在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction

由于是"设想", 所以没给出代码, 希望理解
...全文
77 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
DelphiBoy2003 2003-09-14
  • 打赏
  • 举报
回复
现在最多的病毒是脚本病毒!
Eastunfail 2003-09-13
  • 打赏
  • 举报
回复
现在的一些病毒,不知道是作者只会高级编程语言还是不懂,好多以前古代的“先进技术”都没有用上了,例如Funlove病毒的API函数暴力搜索技术,防止反编译的花码技术等。实在是无趣的很。我很B4用高级编程语言写的垃圾病毒。
lxpbuaa 2003-09-13
  • 打赏
  • 举报
回复
这些其实都不是什么设想,而是开发病毒程序经常使用的手段,就想我们开发数据库程序要使用ADO、BDE或者ODBC技术一样。

—————————————————————————————————
宠辱不惊,看庭前花开花落,去留无意;毁誉由人,望天上云卷云舒,聚散任风。
—————————————————————————————————

1,183

社区成员

发帖
与我相关
我的任务
社区描述
Delphi Windows SDK/API
社区管理员
  • Windows SDK/API社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧