首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]0环下遍历进程,如何区别系统的svchost与恶意同名程序?
发表于: 2010-12-15 14:27 6865

[求助]0环下遍历进程,如何区别系统的svchost与恶意同名程序?

imdemon 活跃值
2010-12-15 14:27
6865
想把系统的关键进程加入白名单。

做法是遍历进程。EPROCESS下得到ImageFileName
把以下进程加入白名单
"SERVICES.EXE"
"LSASS.EXE"
"SVCHOST.EXE"

但有一个问题在于。。如何区别该进程是系统的进程呢。。还是一个恶意同名程序?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (8)
tfzxyinhao
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
比较一下父进程,一般正常的svchost的父进程是Services,恶意程序的父进程是explorer
2010-12-15 14:47
0
yangken
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
没有absolutely的方法么?
2010-12-15 17:21
0
aliuwr
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看是不是system32目录的
2010-12-15 17:34
0
鹿剑
雪    币: 284
活跃值: (106)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
私信
5
黑白名单,但是使用的不是名字来区分而是进程文件Hash值
2010-12-15 18:57
0
miaoling
雪    币: 94
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
校验文件的数字签名呢
2010-12-15 23:04
0
MyTipfocus
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感觉应该是MD5值,楼主,你仔细看看360的全面诊断,你就会明白的,360标注那个进程是不是安全,旁边的详细信息都给出了MD5值,我猜测它应该是有一个标准的库(里面有相关进程文件的MD5值),与当前的系统的文件的MD5进行比较来判断是否为安全项的。希望对楼主有帮助
2010-12-16 09:37
0
MyTipfocus
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
一个文件的MD5是固定的,如果被修改,MD5也会跟着变化,如果svchost被注入,它的MD5会变化的。
2010-12-16 09:43
0
aliuwr
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
系统文件也是有多个版本的,要收集可不易啊
2010-12-16 09:48
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//