admin管理员组

文章数量:1595916

  Rootkit是计算机病毒里比较高级的类型。通常是指计算机病毒里隐匿能力最强的病毒。
  用户层RootKit的运行特点是运行之后不退出、不创建其他进程,进程行为几乎完全模仿正常程序。普通方法很难察觉到它们的病毒目的。

这类病毒的目的多是:
  1.密码窃取病毒
  会进行密码爆破,cookie偷取,键盘记录,DNS枚举,长期藏匿于电脑中一旦得手就给远程服务器连接。
  2.感染型病毒
  HOOKAPI,代码量小,普通用户短时间内难以察觉。API捕获或者静态分析一般无效,因为大多是汇编写的经典代码。可以看改变文件的时间戳,或者用APIHOOK的扫描工具检测哪些文件操作API被HOOK了。

  Rootkit一般都不会提升自身进程权限为SeDebugPriviledge权限(当然也有)

下面每个编号代表不同文件的Rootkit,我们会分别介绍下分析它们Rootkit时会用到的强大的工具。

37.exe
  NetUserEnum函数检索服务器上所有用户帐户的信息,并动态解密出dnsapi.dll进行DNS查询和并尝试进行网络共享资源连接。
  使用ProcessMonitor也可以

本文标签: 恶意高级技术软件Rootkit

版权声明:本文标题:恶意软件分析——RootKit高级分析技术 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1728242251a1150704.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。