2015年10月10日
Worm.Win32.DownLoader.ns病毒主进程新式输入法注入分析(IME Inject)
摘要: 1.病毒会在system32目录生成一个以tmp结尾的随机数命名的文件。2.然后挂钩HOOK本进程空间的imm32.dll导出的ImmLoadLayout函数和ntdll.dll导出的ZwQueryValueKey。3.被挂钩的ZwQueryValueKey的处理流程是:若查询的键值是“Ime Fi... 阅读全文
posted @ 2015-10-10 15:00 王庆东mas 阅读(427) 评论(0) 推荐(0) 编辑
Powered by:
博客园
Copyright © 2024 王庆东mas
Powered by .NET 8.0 on Kubernetes