会员
众包
新闻
博问
AI培训
云市场
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
未将对象引用设置到对象的实例
crack ms's.net core logic then practise some hack
博客园
::
首页
::
新随笔
::
联系
::
订阅
::
管理
公告
2015年10月10日
Worm.Win32.DownLoader.ns病毒主进程新式输入法注入分析(IME Inject)
摘要: 1.病毒会在system32目录生成一个以tmp结尾的随机数命名的文件。2.然后挂钩HOOK本进程空间的imm32.dll导出的ImmLoadLayout函数和ntdll.dll导出的ZwQueryValueKey。3.被挂钩的ZwQueryValueKey的处理流程是:若查询的键值是“Ime Fi...
阅读全文
posted @ 2015-10-10 15:00 王庆东mas
阅读(427)
评论(0)
推荐(0)
编辑