恶意代码与安全漏洞.pptVIP

* PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。当前可以探测 600 多个不同签名。 PEiD 是最强大的一个查壳工具。 PE综合工具，整合了 PEiD0.9 壳标签数据库可识别 435 种壳类型并检测入口点等，并且能自己添加不明壳的标签；内置十六进制编辑器，可对资源进行修改；出色的文件比较功能；可视化资源查看器，可修改、替换、导出文件；添加函数、修改区段、查看程序进程等等；Rva转换Raw；与资源管理器的完美结合…… 动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3级调试器，非常容易上手，己代替SoftICE成为当今最为流行的调试解密工具了。 * 系统程序默认安装目录： %ProgramFiles%\Common Files\ %Program Files%\Common Files\System\ %ProgramFiles%\Common Files\Microsoft Shared\ %Program Files%\Common Files\Microsoft Shared\MSInfo\ %Program Files%\Internet Explorer\ %Program Files%\Internet Explorer\PLUGINS\ WINDOWS所在目录： %Windir%\System\ %Windir%\Tasks\ %WinDir%\Fonts\ %Windir%\AppPatch\ %Windir%\Cursors\ %Windir%\Help\ %Windir%\Media\ %Windir%\pchealth\ %Windir%\pchealth\helpctr\binaries\ WINDOWS\System32： %System32%\dirvers\ %System32%\Com\ %System32%\Setup\ %System32%\dllcache\ %system32%\oobe\ 当前用户文档目录： %Documents and Settings%\当前用户\「开始」菜单\程序\启动 %Documents and Settings%\All Users\「开始」菜单\程序\启动 %Documents and Settings%\当前用户\Local Settings\Temporary Internet Files %Documents and Settings%\当前用户\Local Settings\Temp 释放文件名为指定长度随机字符的病毒文件 删除文件 替换系统文件 把逻辑盘符根目录下的目录隐藏，并创建与目录名字相同、图标为文件夹图标的病毒文件 设置文件属性 设置文件日期 带壳的病毒文件 进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。进程为应用程序的运行实例，是应用程序的一次动态执行。病毒也是一个程序，当它运行的时候，也有其自身的进程。 创建病毒进程： 注：每个病毒运行后，首先会创建一个病毒进程。创建进程API函数为CreatProcess 遍历系统进程、获取进程列表： 注：一些病毒运行后，为了降低系统的安全性，保护自身，通常会遍历所有进程以发现满足条件的进程。进程快照的API函数为CreatToolhelp32Snapshot 结束当前进程： 注：当病毒运行后，为了不让用户发现通常会结束当前自身的进程。结束当前进程API函数为ExitProcess 进程互锁： 注：一些病毒为了保护自身进程不被用户轻易关掉，会通过进程互锁的方式，同时运行两个（或者更多，常见是两个或三个）病毒进程，通过检查互斥体，在极短的时间内，互相启动进程。常见的进程互锁API函数有InterlockedIncrement、InterlockedDecrement、InterlockedExchangeAdd、InterlockedExchangePointer 终止其他系统进程、调试程序进程、反病毒软件进程： 注：一些病毒运行后，出于保护自身的目的，会结束满足条件相关安全软件的进程。终止其他进程的API函数为TerminateProcess 进程互斥： 注：某些病毒为了防止病毒多次运行相同的病毒文件，通常会采用进程互斥的方式，只保留一个病毒进程。进程互斥的API函数：CreatMutex * PA(Protection Analysis Project)计划 RISOS(Research in Secured Operating Systems)计划 * 主要从以下几个方面开展相关工作： “看的见”：包括漏洞扫描、入侵检测、配置核查，以及代码审计类产品； “堵的住” ：包括隔离设备、干扰设