Virus-Faker

摘要： 在Word和其他微软Office系列办公软件中，宏分为两种。 内建宏 位于文档中，对该文档有效，如文档打开（AutoOpen）、保存、打印、关闭等。 全局宏 位于Office模板中，为所有文档所共用，如打开Word程序（AutoExec）。 宏病毒的传播路线： 单机：单个Office文档->Offi 阅读全文

摘要： 木马的基本概念 通过欺骗或诱骗的方式安装，并在用户的计算机中隐藏以实现控制用户计算机的目的。具有远程控制、信息窃取、破坏等功能的恶意代码。 木马的分类 远程控制型木马 远程控制 交互性：双向（攻击者<->被控制端） 典型案例： 卡巴斯基分类标准下的木马子类：Backdoor 冰河、网络神偷、广外女生 阅读全文

摘要： 恶意代码攻击链 恶意攻击的活动大概有7步： Reconnaissance：侦察，利用社会工程学了解攻击目标。 Weaponization：定向的攻击工具制作，常见的工具交付形态是带有恶意代码的pdf文件或者office文件。 Delivery：把攻击工具输送到目标系统上，APT攻击者最常用三种方式来 阅读全文

摘要： 绝大多数的恶意代码可以分类为如下几个类别： 1.后门 恶意代码将自身安装到一台计算机上允许攻击者进行访问。后门程序通常让攻击者只需很低级别的认证或者无需认证，便可连接到计算机上，并可以在本地系统执行命令。 2.僵尸网络 与后门类似，也允许攻击者访问系统。但是所有被同一个僵尸网络感染的计算机将会从一台 阅读全文

摘要： 全局钩子注入 在Windows中大部分的应用程序都是基于消息机制的，它们都有一个消息过程函数，根据不同的消息完成不同的功能。 Windows提供的钩子机制就是用来截获和监视系统中这些信息。 按照钩子作用的范围不同，它们又可分为局部钩子与全局钩子。局部钩子是针对某个线程；而全局钩子则是作用于整个系统的 阅读全文

摘要： 一、运行单一实例 在使用各种手段将病毒木马植入到用户计算机后，病毒木马会进行激活操作将自身激活开始工作。 但如果病毒木马被多次重复运行，系统中会存在多份病毒木马的进程，于是就存在着暴露的风险。所以，就要确保系统中只运行一个病毒木马实例。 确保运行一个进程实例的方法有很多，扫描进程列表，枚举窗口，通过 阅读全文

摘要： 在之前的概念中，线程切换仿佛一直都是由CPU来控制的，CPU为每个线程分配一个时间片，当线程的时间片用完之后，CPU将会切换线程，让其他线程进行执行，但事实并不是这样。 接下来，逐步分析一下ThreadSwitch代码 // ThreadSwitch.cpp : Defines the entry 阅读全文

摘要： TSS不是寄存器，就是一段内存 共有104个字节 TSS包括当前执行任务的重要信息（如所有的通用寄存器，段寄存器，标志寄存器，CR3等） TSS作用 TSS的意义就在于可以同时换掉“一堆”寄存器，实现任务的切换。 任务是对于CPU而言的，对于操作系统而言则为线程，因为每个进程都至少有一个线程，进程是 阅读全文

摘要： 在PE当中，含有导出表和导入表，两者的功能是什么呢？ 一.功能 导入表：在PE文件中供自己使用的函数在一张表当中，便于寻找和使用 导出表：在PE文件中供其他PE文件使用的函数在一张表中，便于其他PE文件进行使用 今天着重介绍导入表 二.误区 在大众对PE的认知当中，可能会认为exe文件只有导入表，没 阅读全文

摘要： 空白区域添加代码 经过一个多星期的PE学习，现在把几个能够较好体现PE结构和各种属性的练习整理出来 目的：在notepad.exe中添加一段代码，使其在运行的时候，先弹出一个窗口，然后再执行主程序。 所利用的知识点： 文件对齐，内存对齐，硬编码，PE头结构 ①首先要知道，PE文件为了更好的执行，添加 阅读全文