windows手工杀毒-寻找可疑进程之进程模块

上篇回顾:windows手工杀毒-寻找可疑进程之进程启动文件-CSDN博客
        上篇我们介绍了如何通过进程启动文件寻找可疑进程,首先我们查看文件的数字签名,如果签名是合法的,且是正规公司的证书。基本可疑排除进程是可疑进程(这里我们不考虑证书私钥被泄露,白利用的情况)。如果没法确定文件的来源,可以通过文件的MD5值搜索是否是病毒文件,也可以使用沙箱检测文件。本篇介绍一种新的寻找可疑进程的方法,查看进程模块。

术语介绍:

文件格式:

每种类型的文件都有相应的文件标准,文件的内容按照对应的标准填充数据。比如PDF文件以十六进制串'0x25', '0x50', '0x44', '0x46', '0x2d'开头。

模块文件:

模块文件是一种可执行文件,在windows系统中,可执行文件按照PE文件格式存储,常见的可执行文件有exe文件,dll文件,sys文件等。进程在运行时可以加载其他的可执行文件,这些被加载的可执行文件就是进程中的模块文件

Dll劫持技术:

进程启动时会加载Dll文件,操作系统会按照配置,从不同的路径中搜索dll文件。比如从进程启动目录中,从系统路径中,从环境变量配置等路径中,按照搜索的优先级加载dll,并加载高优先级路径中的dll。黑客通过将dll文件放置在高优先级的目录下,从而让进程加载恶意dll,实现劫持加载

如何获取进程模块列表:

今天介绍工具 Procexp.exe,这款工具是微软提供的用来查看进程相关信息的工具 进程资源管理器 - Sysinternals | Microsoft Learnicon-default.png?t=O83Ahttps://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

 

软件初始界面即可看到运行中的进程列表。 单击View菜单,选中Lower Pane View,单击Dlls,打开进程模块列表。

图中显示的是DouyuUpdate.exe进程的模块列表

如何判断恶意模块文件

1. 根据公司名称判断恶意模块文件

着重排查非微软公司的或公司名为空的模块。nls文件是windows的字体文件格式,可初步忽略

2. 根据模块加载路径判断恶意模块文件

系统dll基本上都在系统目录下,如果发现某个系统dll在其他路径下加载,那多半是被劫持了,那这就是一个恶意模块文件

3. 校验模块文件数字签名

查看模块文件数字签名的完整性

4. 检查模块文件

使用沙箱分析模块文件是否是恶意文件

5. 逆向分析模块文件

可以静态分析模块调用api,分析模块文件行为

6. 动态调试模块文件

可以利用windbg,x64debug等软件调试模块文件,分析文件行为

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/417139.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pnpm国内源设置

一、背景 在国内使用pnpm时,由于网络问题,经常会遇到速度慢或无法访问的问题。为了提高效率,可以将pnpm的源设置为国内的镜像源。以下是一些常用的国内pnpm镜像源以及如何设置它们的方法。 二、国内可用源 2.1 淘宝pnpm源 https://registry…

【全网最全】2024年数学建模国赛B题保奖思路+成品论文+matlab/python代码等(后续会更新

您的点赞收藏是我继续更新的最大动力! 一定要点击末文的卡片,那是获取资料的入口! 一、问题重述 本题聚焦于某电子产品制造企业在生产过程中的决策问题。企业在生产中需采购 和使用两种关键零配件,并在装配过程中面临如何优化质…

2024年全国大学生数学建模竞赛(C题) 建模解析|农作物的种植策略|小鹿学长带队指引全代码文章与思路

我是鹿鹿学长,就读于上海交通大学,截至目前已经帮200人完成了建模与思路的构建的处理了~ 本篇文章是鹿鹿学长经过深度思考,独辟蹊径,实现综合建模。独创复杂系统视角,帮助你解决国赛的难关呀。 完整内容可以…

SpringBoot依赖之Spring Boot DevTools热部署开发增效工具

摘要:Spring项目又大又重,依赖多,编译启动慢,怎么提高研发效率呢?方法之一热部署! 概念 Spring Boot DevTools 依赖名称: Spring Boot DevTools功能描述: Provides fast application restarts, LiveRelo…

Milvus 向量数据库进阶系列丨构建 RAG 多租户/多用户系统 (下)

本系列文章介绍 在和社区小伙伴们交流的过程中,我们发现大家最关心的问题从来不是某个具体的功能如何使用,而是面对一个具体的实战场景时,如何选择合适的向量数据库解决方案或最优的功能组合。在 “Milvus 向量数据库进阶” 这个系列文章中&a…

天润融通解开售后维修的成本枷锁,提高维修服务效率

如今,企业客户服务在开展业务咨询和售后受理时,主要方式还是通过电话与在线方式进行。这种方式虽然方便,但是对于一些非常紧急的情况还是显得有些不够。 比如,虽然现在许多企业APP已经实现了一键咨询和一键报修,但当客…

cuda编程[1]:一二三维网格和块的核函数

目录 前言核函数一维二维三维结果分析 前言 所有的代码下载链接:code。以下代码展示了如何在 CUDA 中打印网格和线程的索引信息。代码包括一维、二维和三维的网格和块的设置,并定义了多个内核函数来输出当前的索引信息。 核函数 打印线程索引 __gl…

[MOCO v3] An Empirical Study of Training Self-Supervised Vision Transformers

1、目的 探索基于contrastive/Siamese范式(而非masked auto-encoding范式)和ViT结构(而非卷积网络)的自监督学习 2、方法 MoCo v3 ​​​​​​​ 1)random data augmentation 2)query encoder &a…

shell 学习笔记:数组

目录 1. 定义数组 2. 读取数组元素值 3. 关联数组 4. 在数组前加一个感叹号 ! 可以获取数组的所有键 5. 在数组前加一个井号 # 获取数组的长度 6. 数组初始化的时候,也可以用变量 7. 循环输出数组的方法 7.1 for循环输出 7.2 while循环输出 7.2.1 …

数据结构与算法 第10天(图的应用)

一、最小生成树 生成树:所有顶点均由边连接在一起,但不存在回路 一个图可以有多颗不同的生成树 生成树特点:生成树的顶点个数与图的顶点个数相同; 生成树是图的极小连通子图,去掉一条边则非连通, 一个有 n个顶点的连通图的生成…

idea插件开发之bean复制插件

背景 周末在家无事做,顺手开发了一个之前一直想要做的插件,那就是bean复制插件。 在项目中,由于代码分层设计,对于同样一个数据我们通常会定义不同层的实体,例如xxxEntity、xxxDTO、xxxVO等,这些不同的实…

自然语言处理-词向量转换

文章目录 一、简介1.含义2.基本原理3.常见转换方法1). 独热编码(One-Hot Encoding)2). 词袋模型(Bag of Words, BoW)3). TF-IDF(Term Frequency-Inverse Document Frequency&#xf…

Java IO异常处理:在Web爬虫开发中的实践

在当今的互联网时代,Web爬虫技术已经成为数据采集的重要手段之一。它们能够自动地从网页中提取信息,为数据分析、搜索引擎优化、内容聚合等提供了强大的支持。然而,Web爬虫在执行过程中可能会遇到各种输入/输出(IO)异常…

产品图片小程序开发:全方位指导,让产品展示更出色

想要快速开发并上线一个展示产品图片的小程序吗?乔拓云平台是您的理想选择。只需简单几步,即可打造专属的小程序平台。 首先,访问乔拓云官方网站,注册并登录您的账号。在小程序后端,您可以自由探索丰富的模板库&#x…

Tomato靶机通关攻略

步骤一:进行端口扫描,找寻靶机地址 步骤二:访问靶机地址 步骤三:利用dirb进行扫描 得出:/antibot_image/进行访问 步骤四:进入antibots->info.php->右击进入页面源代码->发现存在文件包含漏洞 步…

猫咪浮毛引起呼吸问题?希喂、小米、有哈宠物空气净化器性能对比

相信每个铲屎官都会碰到猫咪掉毛的问题,掉落堆积的猫毛除了带来的清扫负担,还存在着极大的健康隐患。毛发主要分为两种,大颗粒的猫毛可以被我们肉眼所看见,通常会沉在地面上、床上。这类猫毛我们可以用粘毛器、吸尘器等工具进行清…

window上部署kafka3.6.1,并配置sasl认证

1 安装kafka 第一步安装kafka,并能成功启动,可参考文章Windows下安装Kafka3-CSDN博客 2 修改kafka的配置文件 server.properties是kafka的主要配置文件,里面有很多参数可以调整。 主要修改如下 listenersSASL_PLAINTEXT://127.0.0.1:9092 sasl.enable…

通过Jflash合并程序以 BOOT + APP 合并为例

打开【jflash】新建一个JFash工程 建好后界面如下 打开【File】下面的【Open data file…】 找到Boot程序所在位置 打开后界面如下,可以看到hex中的数据 点击【File】下面的【Merge data file…】 打开应用程序 查看APP地址区域是否有数据&#xff0c…

无人机螺旋桨常见材料!!!

一、常见材料及其特点 复合材料(如玻璃纤维、碳纤维) 特点:轻量化、坚韧、高效。这些复合材料由玻璃纤维、碳纤维等在树脂基体中制成,可以显著提高无人机的飞行效率和稳定性。碳纤维复合材料尤其具有重量轻、抗张强度高、耐腐蚀…

【Docker】构建Harbor仓库

下载软件包地址:https://github.com/goharbor/harbor/releases Harbor 是由vmware公司开源的企业级 Docker Registry 项目。 它提供了以下主要功能和特点: 1. 基于角色的访问控制(RBAC):可以为不同的用户和用户组分…