windows手工杀毒-寻找可疑进程之进程模块

news2024/12/25 12:23:26

上篇回顾:windows手工杀毒-寻找可疑进程之进程启动文件-CSDN博客
        上篇我们介绍了如何通过进程启动文件寻找可疑进程,首先我们查看文件的数字签名,如果签名是合法的,且是正规公司的证书。基本可疑排除进程是可疑进程(这里我们不考虑证书私钥被泄露,白利用的情况)。如果没法确定文件的来源,可以通过文件的MD5值搜索是否是病毒文件,也可以使用沙箱检测文件。本篇介绍一种新的寻找可疑进程的方法,查看进程模块。

术语介绍:

文件格式:

每种类型的文件都有相应的文件标准,文件的内容按照对应的标准填充数据。比如PDF文件以十六进制串'0x25', '0x50', '0x44', '0x46', '0x2d'开头。

模块文件:

模块文件是一种可执行文件,在windows系统中,可执行文件按照PE文件格式存储,常见的可执行文件有exe文件,dll文件,sys文件等。进程在运行时可以加载其他的可执行文件,这些被加载的可执行文件就是进程中的模块文件

Dll劫持技术:

进程启动时会加载Dll文件,操作系统会按照配置,从不同的路径中搜索dll文件。比如从进程启动目录中,从系统路径中,从环境变量配置等路径中,按照搜索的优先级加载dll,并加载高优先级路径中的dll。黑客通过将dll文件放置在高优先级的目录下,从而让进程加载恶意dll,实现劫持加载

如何获取进程模块列表:

今天介绍工具 Procexp.exe,这款工具是微软提供的用来查看进程相关信息的工具 进程资源管理器 - Sysinternals | Microsoft Learnicon-default.png?t=O83Ahttps://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

 

软件初始界面即可看到运行中的进程列表。 单击View菜单,选中Lower Pane View,单击Dlls,打开进程模块列表。

图中显示的是DouyuUpdate.exe进程的模块列表

如何判断恶意模块文件

1. 根据公司名称判断恶意模块文件

着重排查非微软公司的或公司名为空的模块。nls文件是windows的字体文件格式,可初步忽略

2. 根据模块加载路径判断恶意模块文件

系统dll基本上都在系统目录下,如果发现某个系统dll在其他路径下加载,那多半是被劫持了,那这就是一个恶意模块文件

3. 校验模块文件数字签名

查看模块文件数字签名的完整性

4. 检查模块文件

使用沙箱分析模块文件是否是恶意文件

5. 逆向分析模块文件

可以静态分析模块调用api,分析模块文件行为

6. 动态调试模块文件

可以利用windbg,x64debug等软件调试模块文件,分析文件行为

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2107804.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

建议收藏!分享7款AI免费写论文学术工具

在当前的学术写作领域,AI工具已经成为许多研究人员和学生的重要助手。这些工具不仅能够帮助用户快速生成高质量的论文初稿,还能在一定程度上简化学术写作流程,提高写作效率。以下是七款免费且功能强大的AI写论文学术工具推荐: 一…

如何使用树莓派构建 LoRa 网关?

顾名思义,远距离广域网或LoRaWAN技术广泛用于物联网(IoT)中的远距离、低功耗通信。 在本文中,我们将指导您如何将SX130x 868M LoRaWAN网关模块通过硬件附加在顶部(HAT)的方式连接到Raspberry Pi4。此设置创…

上手一个RGBD深度相机:从原理到实践--ROS noetic+Astra S(上):解读深度测距原理和内外参推导

前言 最近在做项目的时候,项目组丢给了我一个深度相机,今天我们来尝试上手一个实体深度相机。 本教程设计基础相机的原理,使用,标定,和读取。(注:本教程默认大家有ROS1基础,故不对程序进行详细…

Camelyon16数据集切块批量预处理

参考自: Camelyon16数据集切块预处理 区别是这里做了批量处理 数据集目录格式: ** main.py** # !/usr/bin/python3 # -*- coding: utf-8 -*- # Time : 2024/9/4 20:21 # Author : 猫娜Lisa # File : camelyon16_get_patch.py # Software: PyC…

Linux从0到1——基础IO(下)【磁盘/文件系统/软硬链接/动静态库】

Linux从0到1——基础IO(下) 0. 前言1. 磁盘1.1 物理存储结构1.2 磁盘的逻辑存储结构 2. 文件系统2.1 文件系统的管理思想2.2 详解块组2.3 文件名和inode2.4 挂载 3. 软硬链接3.1 引入3.2 软链接3.3 硬链接 4. 动静态库4.1 静态库4.2 动态库 0. 前言 前面…

强化学习之PPO算法

PPO算法 什么是PPO算法PPO算法的原理PPO-Clip的目标函数 什么是PPO算法 PPO算法,全称为Proximal Policy Optimization(近端策略优化),是一种强化学习算法。它由OpenAI在2017年提出,旨在解决策略梯度方法中的一些问题&…

带你0到1之QT编程:六、打地基QList的高效用法

此为QT编程的第六谈!关注我,带你快速学习QT编程的学习路线! 每一篇的技术点都是很很重要!很重要!很重要!但不冗余! 我们通常采取总-分-总和生活化的讲解方式来阐述一个知识点! 码…

【系统架构设计师-2012年】综合知识-答案及详解

更多内容请见: 备考系统架构设计师-核心总结索引 文章目录 【第1~2题】【第3~4题】【第5题】【第6题】【第7题】【第8题】【第9题】【第10~11题】【第12~13题】【第14~19题】【第20~21题】【第22~24题】【第25~26题】【第27~31题】【第32~33题】【第34~36题】【第37…

南京大学机试试题合集

🍰🍰🍰hello宝子们,今天我们来练习南京大学的机试题目,这些题目的缺点就是太老了,都是18或19年的题,大家就练练手。加油!fighting!( •̀ ω •́ )✧ 🍩1161…

geodatatool(地图资源工具)3.8

geodatatool(地图资源工具)3.8(新)修复更新,修复更新包括: 1.优化在线地图多线程下载及用户体验。 注意:在线地图下载与背景地图显示用的是同样的源,所以在线地图是否能下载&#x…

通过Jflash合并程序以 BOOT + APP 合并为例

打开【jflash】新建一个JFash工程 建好后界面如下 打开【File】下面的【Open data file…】 找到Boot程序所在位置 打开后界面如下,可以看到hex中的数据 点击【File】下面的【Merge data file…】 打开应用程序 查看APP地址区域是否有数据&#xff0c…

备战秋招60天算法挑战,Day32

题目链接: https://leetcode.cn/problems/house-robber-ii/ 视频题解: https://www.bilibili.com/video/BV1WRYKeKEQE/ LeetCode 213. 打家劫舍 II 题目描述 你是一个专业的小偷,计划偷窃沿街的房屋,每间房内都藏有一定的现金。…

京东的AIGC革新之旅:通过JoyCoder实现研发提效 | 新程序员

【导读】从需求分析、设计编码到测试运维,AI已经逐步渗透到软件开发的各个环节,如何切实针对研发场景进行提效,是业内每个企业都在思考的问题。本文作者详细分析了AI在研发中的实际应用,并分享了JoyCoder与京东内部工具结合的实际…

一款可以替代Notepad++的免费高级文本编辑器

Kate 文本编辑器是一款跨平台的免费高级文本编辑器,具有丰富的功能和特性。它支持标签页、代码高亮、多文件查找、垂直/水平视图、侧边栏、颜色主题等特性,类似于Notepad。它以其多功能性和易用性广受好评。Kate 支持多文档界面(MDI&#xff…

加密技术.

基本保密通信模型 密码学发展 古典密码学 主要特点:数据的安全基于算法的保密 经典的加密⽅法包括凯撒密码(Caesar Cipher)(替代密码)、维吉尼亚密码(Vigenre Cipher) 主要分类 替代密码&…

OCR技术视角:智能文档管理中的票据自动化识别与处理

在数字化转型的浪潮中,企业对于高效、自动化的文档管理需求日益增长。票据作为企业运营中不可或缺的部分,其识别与管理的智能化成为了提升工作效率的关键。本文将深入探讨智能文档系统中票据识别功能的原理、技术优势以及在不同行业中的应用实践&#xf…

【报错已解决】`Solving environment: failed`

🎬 鸽芷咕:个人主页 🔥 个人专栏: 《C干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 文章目录 引言:一、问题描述:1.1 报错示例:1.2 报错分析:1.3 解决思路&#xff…

智能指针,QT,C++语言的关键字总结

八、C中关键字总结 1> C中一共有63个关键字,如上图所示,其中标红的为c语言中的关键字,有32个 2> 数据类型相关的关键字 bool、true、false:对于bool类型数据的相关处理,值为true和false char、wchar_t:char是…

《Exemplar Free Class Agnostic Counting》CVPR2022

概述 摘要: 这篇论文提出了一种新颖的“无范例类别无关计数”(Exemplar Free Class Agnostic Counting)方法,旨在测试时对新类别的对象进行计数,而无需访问该类别的标记训练数据。以往的类别无关计数方法无法在完全自…

【刷题笔记】打家劫舍问题

欢迎来到 破晓的历程的 博客 ⛺️不负时光,不负己✈️ 题目一 题目链接:打家劫舍I 思路 小偷每到一初,都可以选择对这个位置偷还是不偷,所以,这次我们需要定义两个表 小Tips:针对这种情况,一般…