揭开病毒的奥秘 dll的远程注入技术详解病毒防治

“kukupi”通过精心收集，向本站投稿了2篇揭开病毒的奥秘 dll的远程注入技术详解病毒防治，以下是小编整理后的揭开病毒的奥秘 dll的远程注入技术详解病毒防治，希望你喜欢，也可以帮助到您，欢迎分享！

篇1：揭开病毒的奥秘 dll的远程注入技术详解病毒防治

dll的远程注入技术是目前win32病毒广泛使用的一种技术，使用这种技术的病毒体通常位于一个dll中，

在系统启动的时候，一个exe程序会将这个dll加载至某些系统进程（如explorer.exe）中运行。

这样一来，普通的进程管理器就很难发现这种病毒了，而且即使发现了也很难清除，

因为只要病毒寄生的进程不终止运行，那么这个dll就不会在内存中卸载，

用户也就无法在资源管理器中删除这个dll文件，真可谓一箭双雕哉。

记得qq尾巴病毒肆虐的时候，就已经有些尾巴病毒的变种在使用这种技术了。

到了初，我曾经尝试着仿真了一个qq尾巴病毒，但独是跳过了dll的远程加载技术。

直到最近在学校论坛上看到了几位朋友在探讨这一技术，便忍不住将这一尘封已久的技术从

我的记忆中拣了出来，以满足广大的技术爱好者们。

必备知识

在阅读本文之前，你需要了解以下几个api函数：

・openprocess - 用于打开要寄生的目标进程。

・virtualallocex/virtualfreeex - 用于在目标进程中分配/释放内存空间。

・writeprocessmemory - 用于在目标进程中写入要加载的dll名称。

・createremotethread - 远程加载dll的核心内容，用于控制目标进程调用api函数。

・loadlibrary - 目标进程通过调用此函数来加载病毒dll。

在此我只给出了简要的函数说明，关于函数的详细功能和介绍请参阅msdn。

示例程序

我将在以下的篇幅中用一个简单的示例virus.exe来实现这一技术。这个示例的界面如下图：

首先运行target.exe，这个文件是一个用win32 application向导生成的“hello, world”程序，

用来作为寄生的目标进程。

然后在界面的编辑控件中输入进程的名称“target.exe”，单击“注入dll”按钮，

这时候virus.exe就会将当前目录下的dll.dll注入至target.exe进程中。

在注入dll.dll之后，你也可以单击“卸载dll”来将已经注入的dll卸载。

模拟的病毒体dll.dll

这是一个简单的win32 dll程序，它仅由一个入口函数dllmain组成：

bool winapi dllmain( hinstance hinstdll, dword fdwreason, lpvoid lpvreserved )

{

switch ( fdwreason )

{

case dll_process_attach:

{

messagebox( null, _t(“dll已进入目标进程。”), _t(“信息”), mb_iconinformation );

}

break;

case dll_process_detach:

{

messagebox( null, _t(“dll已从目标进程卸载。”), _t(“信息”), mb_iconinformation );

}

break;

}

return true;

}

如你所见，这里我在dll被加载和卸载的时候调用了messagebox，这是用来显示我的远程注入/

卸载工作是否成功完成。而对于一个真正的病毒体来说，

它往往就是处理dll_process_attach事件，

在其中加入了启动病毒代码的部分：

case dll_process_attach:

{

startvirus;

}

break;

注入！

现在要开始我们的注入工作了。首先，我们需要找到目标进程：

dword findtarget( lpctstr lpszprocess )

{

dword dwret = 0;

handle hsnapshot = createtoolhelp32snapshot( th32cs_snapproces

关 键 字：病毒防治

篇2：病毒隐藏技术病毒防治

病毒隐藏技术

任何病毒都希望在被感染的计算机中隐藏起来不被发现，而这也是定义一个病毒行为的主要方面之一，因为病毒都只有在不被发现的情况下，才能实施其破坏行为，为了达到这个目的，许多最新发现的病毒使用了各种不同的技术来躲避反 病毒软件的检验。而这种技术与最新的反病毒软件所使用的技术相似（本来就相同，大家是兄弟，病毒与杀毒软件，彼此彼此）。

这次我们将讨论一些病毒所使用的最基本的隐藏技术，以后还将讨论一些较新较复杂的技术。

一个最常用最知名的技术被称为“秘密行动”法，这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。 这些痕迹包括被感染文件莫名其妙增大或是文件建立时间的改变等。由于它们太明显，很容易被用户发现，所以很多病毒 的制造者都会使用一种技术来截取从磁盘上读取文件的服务程序，通过这种技术就能使得已被改动过的文件大小和创建时 间看上去与改动前一样，这样就能骗过使用者使他们放松警惕，

在“秘密行动”法问世以后，由于常驻内存反病毒软件的出现，一种名为“钻隧道”的方法又被开发了出来。

常驻内存反病毒软件能防止病毒对计算机的破坏，它们能阻止病毒向磁盘的引导区和其它敏感区写入数据，以及实施 对应用程序的修改和格式化硬盘等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始内存地址，由此绕开常 驻内存的反病毒过滤器，这样病毒感染文件的时候就不会被反病毒软件发现。

通过以上的论述，也许大家就能了解安装集成了最新技术的反病毒软件的重要性。

关 键 字：病毒防治

【揭开病毒的奥秘 dll的远程注入技术详解病毒防治】相关文章：

1.超级病毒技术

2.新学期做好防治病毒工作计划

3.浅谈用delphi来编写蠕虫病毒病毒防治

4.浅谈U盘病毒及其防治办法 有效避免威胁

5.病毒小知识： 教你全面认识计算机病毒以及其特性病毒防治