木马后门常用到的API

最新推荐文章于 2025-03-18 09:59:00 发布
原创 最新推荐文章于 2025-03-18 09:59:00 发布 · 3.6k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文主要列举和分析了木马后门可能涉及到的服务管理、屏幕管理、命令控制等关键API,包括服务的控制、屏幕操作、磁盘和文件处理、注册表操作、时间处理以及进程管理等多个方面。

用来分析木马后的功能,简单整理如下:



1.服务管理

OpenSCManager

OpenService

EnumServicesStatus

QueryServiceConfig

ControlService

2.屏幕管理

CreateDC

GetDeviceCaps

CreateCompatibleBitmap

CreateCompatibleDC

OpenWindowStation

OpenDesktop

3.命令控制

CreatePipe

DisconnectNamedPipe

PeekNamedPipe


3、磁盘处理函数

GetDiskFreeSpaceA 获取与一个磁盘的组织有关的信息,以及了解剩余空间的容量
GetDiskFreeSpaceExA 获取与一个磁盘的组织以及剩余空间容量有关的信息
GetDriveTypeA 判断一个磁盘驱动器的类型
GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母
GetFullPathNameA 获取指定文件的详细路径
GetVolumeInformationA 获取与一个磁盘卷有关的信息
GetWindowsDirectoryA 获取Windows目录的完整路径名
GetSystemDirectoryA 

最低0.47元/天 解锁文章
C#实现屏幕截图木马
senblingbling的专栏
01-29 7546
本文用C#进行简单的屏幕截图木马编程,适合新手学习网络通信,线程如何阻塞,如何屏幕截图,如何隐藏程序,如何让程序开机自启动等等!精彩不要错过~
【网络安全】DRIDEX木马巧用VEH混淆API调用流程
HBohan的博客
11-08 4378
情报背景 DRIDEX是自2014年起活动至今的著名恶意银行木马家族,通常以OFFICE文档的方式进行文档钓鱼攻击。0xCERT的研究人员将其描述为精于防御规避的信息与凭据窃取恶意软件,利用众多C&C服务器令针对其的网络·封锁无能为力。DRIDEX在其历史行动中曾多次运用高级防御规避技术隐匿其恶意行为,其v4版本是第一个使用AtomBombing进程注入技术的恶意软件。 【学习资料】 而本文中将对其近期样本中利用向量化异常处理(VEH)机制混淆其API函数调用的手法进行分析研判,该手法对于动态静态分
木马常用的后门技术讲解
kafeiwuzhuren的专栏
07-14 1781
木马 后门
常用的Win API函数
Yatere的天平秤
05-15 750
<br /><br />1、限制程序功能函数 <br />EnableMenuItem 允许、禁止或变灰指定的菜单条目 <br />EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) <br />2、对话框函数 <br />CreateDialog 从资源模板建立一非模态对话窗 <br />CreateDialogParam 从资源模板建立一非模态对话窗 <br />CreateDialogIndirect 从内存模板建立一非模态对话窗 <br />CreateDialogI
Sheethub:CSS 后门 API
06-19
Sheethub 0.6.2 Sheethub 是一个 CSS 后门 API,旨在为 CSS polyfill 带来简单性和集中化,让它们协同工作。 很快:Sheethub 检索样式表本身,以便能够访问当前由于不兼容原因未应用的 CSS 规则。 安装 您可以选择缩小的库或使用以下命令安装它: jam install pyrsmk-sheethub bower install Sheethub npm install pyrsmk-sheethub --save-dev Sheetub 脚本 : 媒体查询 如果您已经开发了 Sheethub 脚本,请随时将其添加到列表中 ;) 开发脚本 准备状态 Sheethub 提供了一个事件来通知所有本机样式表已被检索。 听听方法如下: Sheethub . listen ( function ( ) { } ) ; 但小心点。 根据您的
[delphi] 直接操作Socket API写木马其实很简单(监听篇)
阳光小飞鱼's Blog
09-25 4829
PrettySky原创,转载注明出处和作者是个好习惯。记得在我刚接触Delphi编程不久的时候,对编写木马特别感兴趣,我尝试过,不过我写的服务器端木马特别大,究其原因?因为我像开发GUI程序那样搞服务器端,有窗口、摆控件,这样做出来肯定大。当时我寻找一种轻便的方法,现在我实现了--直接操作Socket API。这一篇我打算只讲监听部分,也就是说直接操作Socket API构建木马服务器端,并支持多
木马/后门程序在WINNT中进程隐藏和查找的方法
11-06
在Windows NT操作系统中,木马和后门程序的隐藏技术是一项关键挑战,因为与Windows 9x系统不同,它们无法轻易地通过注册为系统服务来避开进程查看器。这篇文章主要探讨了在NT环境下,木马如何隐蔽其进程以及如何被...
深入解析DLL木马进程与Windows API机制
这种攻击方式被称为“DLL注入”(DLL Injection),是高级持续性威胁(APT)和后门程序常用的技术之一。DLL注入的方式多种多样,主要包括:远程线程注入(通过CreateRemoteThread调用LoadLibrary)、反射式DLL注入...
隐藏型木马技术研究:后门与RootKit实现
论文还涉及到了未来木马发展的趋势和挑战,关键词包括网络安全、恶意代码、木马、后门、RootKit、API Hook和SSDT Hook。" 在当今的网络环境中,木马技术已经发展得相当成熟,而隐藏型木马更是因其难以检测和清除的...
一键关闭木马常用端口,全面保护计算机安全
它可能是一个批处理脚本(.bat)或可执行文件(.exe),通过预设规则自动调用系统防火墙API或修改注册表,批量关闭常见木马端口。这类工具的优势在于操作简便,用户无需手动逐个设置,适合对网络技术不熟悉的用户...
:木马编程相关杂谈
天蓝的专栏
08-31 1225
 我写了这样一个Windows下的程序,服务器端没有进程,没有端口,开机自动运行,可以接收客户端发来的文件并执行文件。只有不被发现的木马才能长寿。木马能接收文件并且执行文件,就可以干任何事。比如搜集系统的信息,只要传一个搜集系统信息的程序,并且执行。其他各种需要的功能也可以写成相应的程序,发送并且执行。   隐藏进程   也就是为了在Win2K中的 Windows 任务管理器中看不到。把木马程
后门程序BDoor及源码
05-02 1407
提交时间:2005-04-22提交用户:ffantasyYD工具分类:后门程序运行平台:Windows工具大小:316825 Bytes文件MD5 :95e120d97967a3679dfdbd82985ea1ca工具来源:http://www.uestc.edu.cn/web/default.aspx这是本人考研后的第一个作品(其实是很简陋的一个东西),拿出来共享,算是纪念考研成功吧!开放源代码
漏洞知识点《一句话木马》
最新发布
qq_46143339的博客
03-18 2796
代码,常用于渗透攻击中获取服务器控制权。服务器完全暴露给攻击者,可执行任意系统命令,导致数据泄露、服务瘫痪、横向渗透等严重后果。是 PHP 中一个危险的函数,它将字符串作为 PHP 代码直接执行。是语言结构而非函数,需通过扩展(如 Suhosin)彻底禁用。通过 HTTP POST 请求向服务器发送。并返回当前用户权限信息,实现远程控制。攻击者可通过此参数动态控制服务器行为。攻击者可向服务器发送携带恶意代码的。是 PHP 语言中一种典型的。参数,其内容会作为代码注入到。的值会被解析为代码并执行。
常用的Win32函数清单
weixin_30918415的博客
04-28 267
1、限制程序功能函数EnableMenuItem 允许、禁止或变灰指定的菜单条目EnableWindow允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)2、对话框函数CreateDialog 从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模态对话窗CreateDialogIndirect 从内存模板建立一非模态对话窗CreateDialogI...
一个DDOS木马后门病毒的分析
Fly20141201. 的专栏
10-21 6569
一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c   二、样本行为 0x1.打开与当前病毒进程
黑客常用WinAPI函数整理
icebergliu1234的博客
06-13 461
一、进程创建进程:CreateProcess("C:\\windows\\notepad.exe",0,0,0,0,0,0,0,&amp;si,&amp;pi);WinExec("notepad",SW_SHOW);ShellExecute(0,"open","notepad","c:\\a.txt","",SW_SHOW);ShellExecuteEx(&amp;
攻击JavaWeb应用[8]-后门篇
Exploit的小站~
03-27 2231
0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少。在这里我分享几种比较有意思的JavaWeb后门给大家玩。 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp、php、jsp、aspx等这些常见的后缀应该怎样去突破呢?我在读tomcat的配置文件的时候看到jsp和jspx都是由org.apache
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值