Добавил:
Upload
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Предмет:
Файл:2015_лекции / Лекция №5_2015
.pdf
Замена процесса вредоносным
процессом
CreateProcess(...,"svchost.exe",...,CREATE_SUSPEND,...);
ZwUnmapViewOfSection(...); VirtualAllocEx(...,ImageBase,SizeOfImage,...); WriteProcessMemory(...,headers,...);
for (i=0; i < NumberOfSections; i++) {
WriteProcessMemory(...,section,...);
}
SetThreadContext();
...
ResumeThread();
Признаки поиска атакуемого
процесса
Поиск атакуемого процесса:
CreateToolhelp32Snapshot, Process32First, Process32Next
Поиск потока внутри процесса: Thread32First, Thread32Next
Альтернативный подход:
Nt/ZwQuerySystemInformation с параметром SYSTEM_PROCESS_INFORMATION
Соседние файлы в папке 2015_лекции