关于一些类病毒隐藏技术的设想 (转)

关于一些类病毒隐藏技术的设想 (转)[@more@]关于一些类 病毒隐藏技术的设想

线程的隐藏/复制
注册为服务并非最好的方法, 本人认为CreateRemoteThread是较好的方法, 可以将线程注入到指定的进程中去.(注:只对NT/2K/XP有效)

另一通用的方法是HOOK, windows中有一个特殊的HOOK - WH_GETMESSAGE, 在调用GetMessage时挂上, 我们知道, 大多数win32程序要用GetMessage.因此在DLL中写入HOOK与代码, DLL会被挂到多数进程中去, 除非重启或关闭进程.

文件型病毒会感染PE文件, 这里提供一个新的思路, 还是用"HOOK", 不过是apiHOOK, 将CreateProcess, CreateThread HOOK掉, 在调用之前加入复制代码

另一个小技巧是关于程序的命名, 推荐使用系统文件名称/图标等, 如explorer.exe, kernel32.dll等, 如果原文件在windows则放到system(32)中, 反之亦然.

在注册表中启动项不写程序路径, 而是用 Rundll32 somedll.dll, somefunction

由于是"设想", 所以没给出代码, 希望理解

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10752043/viewspace-962533/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10752043/viewspace-962533/