恶意软件实现原理解析

Posted 2022-06-24 小道安全

恶意软件实现方式1：模块通过三方签名过杀毒检测，注册表进行开机启动，通过url进行数据传递，释放不同exe或者文件进行木马功能，感染的dll数据会通过加密，会通过注入explorer.exe,services.exe,spoolsv.exe进行功能实现。

恶意软件实现方式2： 通过向系统进程services.exe, explorer.exe，svchost.exe注入恶意代码。

恶意软件实现方式3：木马配置文件通过网站不断下载，通过执行配置文件来创建svchost.exe傀儡进程。

恶意软件实现方式4：扫描随机ip的电脑，扫描局域网相同网段机器进行病毒感染，通过创建服务SetServiceStatus进行开机自启动功能，对开放的端口进行扫描。

恶意软件实现方式5：通过伪装html文件去执行病毒功能， 把木马功能伪装成为图片，让那个用户去点击以此来启动功能。通过启动notepad.exe傀儡进程进行木马功能实现。

恶意软件实现方式6：将将木马程序伪装成为 后缀为jpg的图片文件，伪装成一个无效的快捷键方式，通过注册表来判断木马功能是否实现，通过记录键盘来盗窃账号信息。

恶意软件实现方式7：通过apc方式注入到系统services.exe进程。

恶意软件实现方式8：通过伪装成后缀为bat文件进行实现木马功能。伪装成为后缀为vbs文件进行木马功能。

恶意软件实现方式9：通过创建隐藏文件来执行木马功能。创建伪装成为后缀为lnk（快捷方式）进行执行。

恶意软件实现方式10：偷偷关闭系统防火墙，伪装成为假qq以此盗窃账号信息。

恶意软件实现方式11：自启动ie浏览器进程，往ie注入代码。通过U盘数据进行病毒传播，注入恶意shellcode

恶意软件实现方式12：会将模块隐藏并将后缀伪装成为tmp的(如：xxx.tmp),修改系统模块功能。通过hook技术进行实现功能实现。

恶意软件实现方式13：释放木马模块，设置LSP注入。通过创建Mutex实现只创建一个实例。

恶意软件实现方式14: APC注入实现木马模块注入。通过修改注册表来实现任务管理器不能启动。

恶意软件实现方式15：通过修改host文件劫持导航，安全软件配置文件，浏览器配置文件来实现锁定主页，通过创建svchost.exe傀儡进程进行操作功能。

检测防范思考：可以通过检测开机启动项进去木马功能检测， 端口网络可以使得木马收集的信息或者需要下载的病毒无法进行。
————————————————
版权声明：本文为CSDN博主「小道安全」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/c_kongfei/article/details/111677688