Ramnit感染型病毒创建傀儡进程的方法

样本信息:
MD5: FF5E1F27193CE51EEC318714EF038BEF
SHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA6

1,查找默认浏览器

如果有默认浏览器则将默认浏览器作为傀儡进程,如果没有则使用IE浏览器

2,HOOK ntdll.ZwWriteVirtualMemory()函数

使用inline hook的方式HOOK ntdll.ZwWriteVirtualMemory()函数

hook之前暂停了当前进程中的其他线程,hook之后又恢复

3,创建浏览器进程

创建浏览器进程(正常创建),而使用CreateProcessA()创建进程时则会在内部调用被hook的ntdll.ZwWriteVirtualMemory()函数,调用ZwWriteVirtualMemory()函数前后浏览器进程均处于挂起状态

4,钩子函数

调用ZwWriteVirtualMemory()函数时则进入钩子函数中执行,钩子函数将一个展开后的dll文件、3个函数和参数注入浏览器进程中,注入上述数据之后直接使用WriteProcessMemory()将浏览器进程EP处0xC大小的指令改写,使其调用注入的第三个函数

被修改的浏览器进程入口

5,Fun3

Fun3根据注入DLL各节区的属性完成属性设置后直接进入该DLL的EP处执行,至此傀儡进程创建完毕

Ramnit感染型病毒创建傀儡进程的方法相关推荐

  1. Ramnit感染型病毒分析与处置

    0x01 背景 Ramnit病毒最早于2010年被发现,通过感染可执⾏⽂件和html⽂件传播.后续的变种中被增加了与C&C通讯的功能,从⽽使攻击者可以控制Ramnit感染的僵⼫⽹络. Ramn ...

  2. 关于感染型病毒ramnit和runner的查杀记事

    主要是在测试一些软件的时候不小心中毒的,当时还是拿虚拟机测试软件,但是复制出来的时候中毒了. 记得复制出来的时候,某杀软还提醒了一下,但是没当回事,轻易加白名单了,因为文件中有一个是自己写的批处理, ...

  3. sality感染型病毒

    Sality病毒是一种多态的感染型病毒.病毒运行后,会终止安全相关软件和服务,感染系统内的exe和scr文件.并且注入病毒线程到所有进程中,在后台下载病毒到系统.同时它创建自身拷贝到可移动设备或者网络 ...

  4. 一例感染型病毒样本的分析

    这个样本是会释放两个dll和一个驱动模块,通过感染USB设备中exe文件传播,会向C&C下载PE执行,通过rookit关闭常用的杀软,是一例典型的感染型病毒,有一定的学习价值. 原始样本 样本 ...

  5. 关于感染型病毒的那些事(一)

    在我看来,感染型病毒才是真正称得上为病毒,因为感染型病毒的手动清除比较困难,大学的时候,帮同学杀毒最烦躁的就是碰上感染型的病毒,除非写一个程序自动处理,不然手动清除是相当麻烦的.当然我所谓的真正病毒主 ...

  6. Virut感染型病毒查杀工具

      职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒. 在医院和制造业是感染病毒的重灾区.感染病毒往往针对exe.dll.html格式文件.   下面是自己 ...

  7. Ramnit感染型蠕虫病毒专杀工具

    电脑突然中病毒了,所有html文件后面都加了一段VB的语句,花了半天时间终于解决了 问题如图:经常弹出这个弹框 解决办法: 运行FxRamnit杀毒软件,下载链接:http://dx2.pc0359. ...

  8. 关于感染型病毒的那些事(三)

    前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下, ...

  9. 关于Synaptics.exe感染型病毒

    我打开excel文件时,出现了这个 每次打开就出现这个,以为是笔记本触控板的驱动,看着电脑也没啥事,就信任了它,没有清理掉,结果来了 编译c语言形成的exe文件就被感染了 打开任务管理器,果然看见Sy ...

最新文章

  1. postgis 导出 栅格_【FME HOWTO系列】08 导入数据库表、栅格数据、矢量数据
  2. 【Python 13】分形树绘制1.0--五角星(turtle库)
  3. hdu 3932Groundhog Build Home 【爬山算法】
  4. DAPP(分布式应用),区块链新物种,程序员掘金新风口!
  5. eclipse 翻译插件_这两个IDE插件,可以让你写出质量杠杠的代码
  6. 汽车之家android平板,【精】中控面板无损无缝安装安卓平板车载电脑
  7. python用http协议传数据_python基础 -- 简单实现HTTP协议
  8. [算法总结] 13 道题搞定 BAT 面试——字符串
  9. Baby‘s first attempt on CPU(贪心+模拟)
  10. C/C++中深浅拷贝(map、vector)与内存释放
  11. 汤家凤:九月前强化复习结束不了怎么办?
  12. dos固态硬盘测试软件,dos下的硬盘检测工具MHDD图文教程!
  13. 2022-2028年中国饮用水市场投资分析及前景预测报告(全卷)
  14. 【圣诞节给爱的人打印一颗圣诞树吧】超详细代码实现——圣诞树打印
  15. 浙江树人大学计算机大类专业分类,浙江树人学院各专业收费明细表
  16. 一个查英语缩写的网站
  17. Costech A17M23SWB MTo
  18. Ubuntu下配置FreeRADIUS + PPTP/L2TP + Mysql + daloRADIUS
  19. 2017华为软件精英挑战赛解分析
  20. 容联云发送短信验证码

热门文章

  1. 【python数据挖掘课程】二十八.基于LDA和pyLDAvis的主题挖掘及可视化分析
  2. 2021B站1024程序员节 网络攻防CTF
  3. 软考题目之头结点、头指针和首元节点
  4. 【数据结构】AVL树(高度平衡的二叉搜索树)
  5. 计算机电缆参数,计算机电缆的几个参数要求
  6. 买极米NEW Z8X的我后悔了,换成当贝F3 Air可真香
  7. xamarin学习笔记A19(安卓AIDL)
  8. 服务器丢包率与什么有关?以及常用的丢包解决方法
  9. 解决导出为Excel时文件名乱码的问题。
  10. 34、HTML制做奖多多采购页面(仅供参考)