0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

恶意代码常见功能技术

C语言编程学习基地 来源:C语言编程学习基地 作者:C语言编程学习基地 2022-04-10 17:03 次阅读

恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。

恶意代码常见功能技术如下:进程遍历,文件遍历,按键记录,后门,桌面截屏,文件监控,自删除,U盘监控。知己知彼,百战不殆。这里旨在给反病毒工程师提供参照。病毒作者请绕过。

进程遍历

进程遍历获取计算机上所有进程的信息(用户进程,系统进程),通常是为了检索受害进程,检测是否运行在虚拟机中,以及是否存在杀软等,有时候反调试技术也会检测进程名。所以在恶意代码中进程遍历很常见。

具体流程:

1、调用CreateToolhelp32Snapshot获取所有进程的快照信息之所以称为快照是因为保存的是之前的信息,该函数返回进程快照句柄。

2、调用Process32First获取第一个进程的信息,返回的进程信息保存在PROCESSENTRY32结构体中,该函数的第一个参数是CreateToolhelp32Snapshot返回的快照句柄。

3、循环调用Process32Next从进程列表中获取下一个进程的信息,直到Process32Next函数返回FALSE,GetLastError的错误码为ERROR_NO_MORE_FILES,则遍历结束。

4、关闭快照句柄并释放资源

遍历线程和进程模块的步骤和上面的相似,线程遍历使用Thread32First和Thread32Next,模块遍历使用Module32First和Module32Next。

源码实现:

#include "EnumInfo.h"

void ShowError(char *lpszText){    char szErr[MAX_PATH] = {0};    ::wsprintf(szErr, "%s Error[%d]
", lpszText, ::GetLastError());#ifdef _DEBUG    ::MessageBox(NULL, szErr, "ERROR", MB_OK);#endif}

BOOL EnumProcess(){    PROCESSENTRY32 pe32 = { 0 };    pe32.dwSize = sizeof(PROCESSENTRY32);    // 获取全部进程快照    HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);    if (INVALID_HANDLE_VALUE == hProcessSnap)    {        ShowError("CreateToolhelp32Snapshot");        return FALSE;    }
    // 获取快照中第一条信息    BOOL bRet = ::Process32First(hProcessSnap, &pe32);    while (bRet)    {        // 显示 Process ID        printf("[%d]	", pe32.th32ProcessID);
        // 显示 进程名称        printf("[%s]
", pe32.szExeFile);
        // 获取快照中下一条信息        bRet = ::Process32Next(hProcessSnap, &pe32);    }
    // 关闭句柄    ::CloseHandle(hProcessSnap);
    return TRUE;}

BOOL EnumThread(){    THREADENTRY32 te32 = { 0 };    te32.dwSize = sizeof(THREADENTRY32);    // 获取全部线程快照    HANDLE hThreadSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);    if (INVALID_HANDLE_VALUE == hThreadSnap)    {        ShowError("CreateToolhelp32Snapshot");        return FALSE;    }
    // 获取快照中第一条信息    BOOL bRet = ::Thread32First(hThreadSnap, &te32);    while (bRet)    {        // 显示 Owner Process ID        printf("[%d]	", te32.th32OwnerProcessID);
        // 显示 Thread ID        printf("[%d]
", te32.th32ThreadID);
        // 获取快照中下一条信息        bRet = ::Thread32Next(hThreadSnap, &te32);    }
    // 关闭句柄    ::CloseHandle(hThreadSnap);
    return TRUE;}

BOOL EnumProcessModule(DWORD dwProcessId){    MODULEENTRY32 me32 = { 0 };    me32.dwSize = sizeof(MODULEENTRY32);    // 获取指定进程全部模块的快照    HANDLE hModuleSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);    if (INVALID_HANDLE_VALUE == hModuleSnap)    {        ShowError("CreateToolhelp32Snapshot");        return FALSE;    }
    // 获取快照中第一条信息    BOOL bRet = ::Module32First(hModuleSnap, &me32);    while (bRet)    {        // 显示 Process ID        printf("[%d]	", me32.th32ProcessID);
        // 显示 模块加载基址        printf("[0x%p]	", me32.modBaseAddr);
        // 显示 模块名称        printf("[%s]
", me32.szModule);
        // 获取快照中下一条信息        bRet = ::Module32Next(hModuleSnap, &me32);    }
    // 关闭句柄    ::CloseHandle(hModuleSnap);
    return TRUE;}

文件遍历

文件操作几乎是所有恶意代码必备的功能,木马病毒窃取机密文件然后开一个隐秘端口,(之前在kali渗透群看到有人提问如何识别木马,其实有一个简单的方法,几乎所有的木马都要与攻击者的主机通信的,查看打开了哪些奇怪的端口是一种方法)。

就算是再R0下,也经常会创建写入读取文件,文件功能经常用到。文件搜索功能主要是通过调用FindFirstFile和FindNextFile来实现。

具体流程

1、调用FindFirstFile函数,该函数接收文件路径,第二个参数指向WIN32_FIND_DATA结构的指针。若函数成功则返回搜索句柄。该结构包含文件的名称,创建日期,属性,大小等信息。

该返回结构中的成员dwFileAttributes为FILE_ATTRIBUTE_DIRECTORY时表示返回的是一个目录,否则为文件,根据cFileName获取搜索到的文件名称。如果需要重新对目录下的所有子目录文件都再次进行搜索的话,则需要对文件属性进行判断。若文件属性是目录,则继续递归搜索,搜索其目录下的目录和文件。

2、调用FindNextFile搜索下一个文件,根据返回值判断是否搜索到文件,若没有则说明文件遍历结束。

3、搜索完毕后,调用FindClose函数关闭搜索句柄,释放资源缓冲区资源。

源码实现:

#include "stdafx.h"#include "FileSearch.h"

void SearchFile(char *pszDirectory){    // 搜索指定类型文件    DWORD dwBufferSize = 2048;    char *pszFileName = NULL;    char *pTempSrc = NULL;    WIN32_FIND_DATA FileData = {0};    BOOL bRet = FALSE;
    // 申请动态内存    pszFileName = new char[dwBufferSize];    pTempSrc = new char[dwBufferSize];
    // 构造搜索文件类型字符串, *.*表示搜索所有文件类型    ::wsprintf(pszFileName, "%s\*.*", pszDirectory);
    // 搜索第一个文件    HANDLE hFile = ::FindFirstFile(pszFileName, &FileData);    if (INVALID_HANDLE_VALUE != hFile)    {        do        {            // 要过滤掉 当前目录"." 和 上一层目录"..", 否则会不断进入死循环遍历            if ('.' == FileData.cFileName[0])            {                continue;             }            // 拼接文件路径               ::wsprintf(pTempSrc, "%s\%s", pszDirectory, FileData.cFileName);            // 判断是否是目录还是文件            if (FileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)                   {                // 目录, 则继续往下递归遍历文件                SearchFile(pTempSrc);            }            else                                                                       {                // 文件                printf("%s
", pTempSrc);            }
            // 搜索下一个文件        } while (::FindNextFile(hFile, &FileData));    }
    // 关闭文件句柄    ::FindClose(hFile);    // 释放内存    delete []pTempSrc;    pTempSrc = NULL;    delete []pszFileName;    pszFileName = NULL;}

按键记录

收集用户的所有按键信息,分辨出哪些类似于账号,密码等关键信息进行利用,窃取密码,这里用原始输入模型直接从输入设备上获取数据,记录按键信息。

要想接收设备原始输入WM_INPUT消息,应用程序必须首先使用RegisterRawInputDevice注册原始输入设备,因为在默认情况下,应用程序不接受原始输入。

具体流程

1、注册原始输入设备

一个应用程序必须首先创建一个RAWINPUTDEVICE结构,这个结构表明它所希望接受设备的类别,再调用RegisterRawInputDevices注册该原始输入设备。将RAWINPUTDEVICE结构体成员dwFlags的值设置为RIDEV_INPUTSINK,即使程序不处于聚焦窗口,程序依然可以接收原始输入。

2、获取原始输入数据

消息过程中调用GetInputRawData获取设备原始输入数据。在WM_INPUT消息处理函数中,参数lParam存储着原始输入的句柄。此时可以直接调用

GetInputRawData函数,根据句柄获取RAWINPUT原始输入结构体的数据。

dwType表示原始输入的类型,RIM_TYPEKEYBOARD表示是键盘的原始输入,Message表示相应的窗口消息。WM_KEYBOARD表示普通按键消息,WM_SYSKEYDOWN表示系统按键消息,VKey存储键盘按键数据。

3、保存按键信息

GetForegroundWindow获取按键窗口的标题,然后调用GetWindowText根据窗口句柄获取标题,存储到本地文件。

源码实现:

恶意代码的存在不是由于黑客之类的手段,主要还是我们开发过程中很多情况会用到这样的技术,所以大家请利用技术做正确的事情!

另外,对于编程学习的小伙伴,如果你想更好的提升你的编程核心能力(内功)不妨从现在开始!

原文标题:C/C++恶意代码盘点(一):进程遍历丨木马病毒丨密码记录

文章出处:【微信公众号:C语言编程学习基地】欢迎添加关注!文章转载请注明出处。

审核编辑:彭菁

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 函数
    +关注

    关注

    3

    文章

    4303

    浏览量

    62411
  • 代码
    +关注

    关注

    30

    文章

    4741

    浏览量

    68324
  • 应用程序
    +关注

    关注

    37

    文章

    3240

    浏览量

    57594

原文标题:C/C++恶意代码盘点(一):进程遍历丨木马病毒丨密码记录

文章出处:【微信号:cyuyanxuexi,微信公众号:C语言编程学习基地】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何去防范恶意代码攻击呢

    在享受便利的同时,却往往忽视了隐私的保护。操作系统的漏洞、应用安全的不完善,都会导致物联设备被恶意代码注入,从而导致个人账号等隐私泄露。那么如何去防范恶意代码攻击呢?从当前的技术角度来讲,仅仅通过系统
    发表于 01-25 06:10

    计算机抗恶意代码免疫模型

    很多针对计算机恶意代码的免疫模型和算法要求学习训练的代价比较大,另外这些算法本身也不同程度地存在问题,离实际应用有较大距离,该文提出一种新的计算机抗恶意代码
    发表于 04-16 11:34 13次下载

    Decoy:基于主动技术恶意代码捕获系统

    由于现有的被动捕获技术逐渐无法适应网络安全需要,本文提出一种基于主动技术恶意代码捕获方法,结合主动技术和高交互式蜜罐构建了恶意代码自动捕获
    发表于 08-10 15:28 6次下载

    Decoy基于主动技术恶意代码捕获系统

    由于现有的被动捕获技术逐渐无法适应网络安全需要,本文提出一种基于主动技术恶意代码捕获方法,结合主动技术和高交互式蜜罐构建了恶意代码自动捕获
    发表于 12-18 17:47 10次下载

    基于网页文件代码分类的恶意代码检测系统

    在网络和计算机技术的飞速发展的今天,网页已经成为传递信息最快捷,表现形式最丰富的信息载体之一。随着网站的广泛建设,其中的网页恶意代码的危害面和传播面也随之扩大。所以研究一套网页恶意代码检测系统就显得
    发表于 11-17 09:49 4次下载
    基于网页文件<b class='flag-5'>代码</b>分类的<b class='flag-5'>恶意代码</b>检测系统

    基于主动学习的恶意代码检测

    现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.在数据流依赖网络中分析进程访问行为异常度与相似度
    发表于 01-03 10:57 0次下载
    基于主动学习的<b class='flag-5'>恶意代码</b>检测

    基于栈式自编码的恶意代码分类算法

    针对传统机器学习方法不能有效地提取恶意代码的潜在特征,提出了基于栈式自编码( stacked auto en-coder,SAE)的恶意代码分类算法。其次从大量训练样本中学习并提取恶意代码纹理图像
    发表于 01-16 17:19 0次下载
    基于栈式自编码的<b class='flag-5'>恶意代码</b>分类算法

    结合动态行为和机器学习的恶意代码检测方法

    目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析 Cuckoo沙箱记录
    发表于 03-23 16:24 11次下载
    结合动态行为和机器学习的<b class='flag-5'>恶意代码</b>检测方法

    基于知识蒸馏的恶意代码家族检测方法研究综述

    近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本。针对现文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译
    发表于 04-20 14:49 9次下载
    基于知识蒸馏的<b class='flag-5'>恶意代码</b>家族检测方法研究综述

    一种Attention-CNN恶意代码检测模型

    恶意代码攻击已经成为互联网最重要的威胁之一,并且现存的恶意代码数据庞大,特征多样。为了更好地提取恶意代码特征以及掌握恶意代码的行为,提岀了基于注意力杋制的Δ ttention-CNN
    发表于 04-27 10:31 32次下载
    一种Attention-CNN<b class='flag-5'>恶意代码</b>检测模型

    恶意代码动态流量伪装框架StealthyFlow综述

    加密流量进远控通信的公共资源型恶意代码与GAN结合,对恶意流量进行不影响攻击功能的伪装,旨在实现伪装后的对抗流量与良性流量的不可区分性,进而绕过基于杋器学习算法的分类器。 Stealthy Flow具有如下优势:根据目标流量的变
    发表于 06-01 14:30 11次下载

    基于机器学习的恶意代码检测分类

    基于特征码匹配的静态分析方法提取的特征滞后于病毒发展,且不能检测出未知病毒。为此,从病毒反编译文件及其灰度图出发进行特征提取及融合,采用机器学习中的随机森林(RF)算法对恶意代码家族进行分类,提取
    发表于 06-10 11:03 14次下载

    准确识别APT,选对恶意代码检测系统最重要

    通过APT检测出已知和未知恶意代码,提高网络安全主动防御能力,是网络安全解决方案中需要重视的地方。然而,目前业界普通的恶意代码检测系统难以准确识别APT,给政府、企事业单位的安全防护工作带来了极大困惑。
    的头像 发表于 03-12 16:03 391次阅读

    恶意代码辅助检测系统:“降低、保障、智能”缺一不可

         国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队在长期对木马、病毒等恶意代码行为进行监测、分析、研究
    的头像 发表于 03-28 16:15 462次阅读

    国联易安:“三管齐下”,恶意代码辅助检测“更高效”

    国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队在 长期对木马、病毒等恶意代码行为进行监测、分析、研究的基础上
    的头像 发表于 11-12 12:03 115次阅读