首页
社区
课程
招聘
[求助]关于病毒分析的一些简单问题!!
发表于: 2010-6-3 11:05 5412

[求助]关于病毒分析的一些简单问题!!

2010-6-3 11:05
5412
打开Process Monitor监控 然后打开病毒 发现有很多操作不懂 请大侠们解答下:
问题1:Load Image 在好多dll里 尤其是user32.dll  请问LoadImage这个 什么作用?
问题2:先QueryOpen一个dll 然后CreateFile这个dll然后再CreateFileMapping这个dll然后再  close这个dll  我看了下 这个dll是系统的  他这么做事为了做什么?  小弟没用过CreateFileMapping 上网查了下 大概就是这个字面意思,可是不知道这个一连套下来目的是什么?
问题3:小弟需要在这个比较典型的病毒中得到什么有用的信息么?  比如以后需要在某些注册表的特殊位置进行“照顾” 和一些特定的文件夹进行监视?

小弟菜鸟 望高手不吝指教!谢谢!!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 363
活跃值: (338)
能力值: ( LV15,RANK:310 )
在线值:
发帖
回帖
粉丝
2
虽然不是高手,说说我的一些回答,如果有错请高手指教!
1。LoadImage该函数装载目标,光标,或位图。
2。CreateFileMapping是创建内存映射的函数,可以把文件一次性映射到一段内存上,便于进程共享
3。可以顺便用RegMon和FileMon来监视程序的注册表操作和文件操作,来得到病毒的一些行为
2010-6-3 14:47
0
雪    币: 168
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
LoadImage该函数装载目标,光标,或位图 ----这个我也明白 就是不明白意图是什么?
CreateFileMapping是创建内存映射的函数,可以把文件一次性映射到一段内存上,便于进程共享-----他之前先CreateFile  然后再CreateFileMapping的dll全是系统的dll 就是ws_32.dll这种的  这样目的何在?
2010-6-3 14:58
0
雪    币: 168
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不是自己的dll加载到内存中
2010-6-3 14:59
0
雪    币: 221
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
难道是绕开API HOOK?
打开系统DLL并映射到内存 不外乎是不想使用公共的已经加载到内存的库
2010-6-4 23:43
0
游客
登录 | 注册 方可回帖
返回
//