当前位置: 首页 > news >正文

21、CWSandbox 恶意软件分析:原理与报告解读

CWSandbox 恶意软件分析:原理与报告解读

1. API 挂钩技术

在调用进程的虚拟内存中,cwmonitor.dll能够定位函数,可通过使用GetProcAddressAPI 函数,或者手动解析包含 Windows DLL 模块的导出地址表(EAT)来实现。为了捕获对特定函数的所有调用,会将JMP指令作为首个操作写入该函数的代码位置,此JMP操作用于将执行重定向到自定义的挂钩函数。

kernel32.dll中的CreateFileA函数为例,该函数用于打开现有文件或创建新文件。在挂钩安装前,函数的原始版本中,前三条指令显示在浅灰色框中,后续指令在深灰色框中。安装挂钩时,浅灰色框中的操作会被JMP指令覆盖,而深灰色框中的字节则保持不变。在覆盖函数引入字节之前,需要将这些字节保存到其他内存位置,即SavedStub,以便后续执行原始 API 函数。

当调用CreateFileA函数时,首先执行JMP操作,将控制权委托给挂钩函数。若要在挂钩函数内部调用原始 API,需先执行SavedStub,然后将控制权传回原始 API 函数。这种 API 挂钩形式是用户模式下最有效且便捷的方式,但可能会被恶意软件检测到。因此,后续版本的 CWSandbox 将采用某种内核模式挂钩技术。此外,应用程序也可以不使用 Windo

http://www.cnnetsun.cn/news/127376.html

相关文章:

  • 22、恶意软件分析与检测全解析
  • 产品解读 | Ftrans SFT:信创浪潮下的FTP替代革命者
  • 继何恺明DyT后,LayerNorm再遭暴击!简单erf函数竟成Transformer新宠
  • C语言链表2
  • 蜣螂优化(DBO)算法在工程实际中求目标函数最小值的例子:压力容器设计成本最小化的4变量4约束...
  • 12、游戏内存中常见数据结构解析
  • 21、游戏响应式黑客技术全解析
  • 26、游戏隐藏与反检测技术全解析
  • Kotaemon网络安全问答:CVE漏洞快速查询
  • Kotaemon能否自动识别问题紧急程度?
  • 复杂时序场景的突围:金仓数据库是凭借什么超越InfluxDB?
  • 特价股票投资中的跨境投资策略与风险管理
  • 为分析经理制定全面的仪表板策略
  • MATLAB实现神经网络的模式识别
  • 17、在 Linux 系统中运行 Windows 程序及优化工作流
  • Kotaemon索引构建优化:FAISS vs HNSW性能对比
  • Kotaemon在低资源环境下的轻量化改造方案
  • 16、企业 Linux 桌面迁移与后台基础设施搭建指南
  • 19、数据迁移与备份:从 Windows 到 Linux 的全面指南
  • Kotaemon销售谈判策略建议:促成交易技巧
  • 特征工程中的特征构造技巧:大数据分析的创新实践
  • 32、Linux在不同场景下的应用优势与案例分析
  • 26、深入了解GNU Lesser General Public License
  • Hive实战任务 - 9.2 统计总分与平均分
  • Hive实战任务 - 9.3 实现学生信息排序和统计
  • 1、深入解析 Windows 2000 终端服务与 Citrix MetaFrame 配置
  • 10个降AI率工具推荐,本科生高效降AIGC指南
  • 8个降AI率工具推荐,本科生高效避坑指南
  • 10 个高效降AI率工具,继续教育学生必备!
  • 19、Windows 应用数据管理全解析