[求助]为什么有的病毒或者木马需要从cmd.exe来启动程序-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼从石头里蹦出来的 2008-8-15 14:48 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 3 楼回标题：过行为分析？！。?! 偶菜其他不清楚。想起个 cmd /c ??? 不知道哪看到的技倆？！总结：不清楚，等大俠 2008-8-15 14:58 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 4 楼一般用 ShellExecuteA 和 WinExec 加载 cmd.exe /c ... cmd /c * 是执行完命令后关闭命令窗口，比如加载驱动，一般是“cmd /c sc **.sys ....”这种命令行。至于为什么，俺也是从石头里蹦出来的 2008-8-15 16:33 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 5 楼不需搞破坏！ 2008-8-15 19:42 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 6 楼也有用CreateProcessA实现滴 2008-8-15 22:09 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 7 楼应该是删除自身，或者机器狗最新版本也穿CMD！ 2008-8-18 07:25 0
xfvvvv 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xfvvvv 8 楼看起来很厉害？…… 2008-8-18 07:29 0
菜巫妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	菜巫妖 9 楼是不是因为cmd是windows里对DOS的接口，windows的命令行，可能这里启动程序最方便(猜的，其实也是等高手) 2008-8-18 08:30 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼过启发扫描吧， 2008-8-18 17:18 0
锐捷技术雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	锐捷技术 11 楼 ShellExecute(handle,'open','cmd.exe',pchar(' /c /k %windir%\system32\new.exe'),'',SW_HIDE); 这个是delphi语言编写的执行命令的命令。然后调用都一般是以下API ShellExecuteA 和 WinExec 2008-8-18 18:19 0
geae 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 89 粉丝 0 关注私信	geae 1 12 楼可以躲过一些杀毒软件的监控.. 2008-8-19 11:16 0
seanchan 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	seanchan 13 楼能躲开杀软的内存检测？怀疑，可能是编写者不常用一些程序运行的函数吧，一般好像新手都是这么写代码从而运行起来的，等待高手ing 2008-8-24 16:50 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 14 楼一种是内存注入，还有一种是自删除，插CMD 就是僵尸进程的行为，算内存块上的偏移，直接注入模块！ 2008-8-27 14:50 0
maomaolk 雪币： 688 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 15 楼使用函数,各种编程工具里都有这个函数的 2008-10-13 11:27 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 16 楼请问CMD如何实现内存注入？ 2008-10-14 15:18 0
烂香蕉雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	烂香蕉 17 楼可以躲过一些杀毒软件的监控.比如360 2008-10-16 08:44 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 18 楼使用cmd.exe可避开一些高级的分析软件。有些分析器可以自动跟踪的，通过cmd.exe启动，可避开分析器对进程创建的跟踪，cmd.exe启动的进程，其父进程是explorer.exe。 2008-10-17 20:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼从石头里蹦出来的 2008-8-15 14:48 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 3 楼回标题：过行为分析？！。?! 偶菜其他不清楚。想起个 cmd /c ??? 不知道哪看到的技倆？！总结：不清楚，等大俠 2008-8-15 14:58 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 4 楼一般用 ShellExecuteA 和 WinExec 加载 cmd.exe /c ... cmd /c * 是执行完命令后关闭命令窗口，比如加载驱动，一般是“cmd /c sc **.sys ....”这种命令行。至于为什么，俺也是从石头里蹦出来的 2008-8-15 16:33 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 5 楼不需搞破坏！ 2008-8-15 19:42 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 6 楼也有用CreateProcessA实现滴 2008-8-15 22:09 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 7 楼应该是删除自身，或者机器狗最新版本也穿CMD！ 2008-8-18 07:25 0
xfvvvv 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xfvvvv 8 楼看起来很厉害？…… 2008-8-18 07:29 0
菜巫妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	菜巫妖 9 楼是不是因为cmd是windows里对DOS的接口，windows的命令行，可能这里启动程序最方便(猜的，其实也是等高手) 2008-8-18 08:30 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼过启发扫描吧， 2008-8-18 17:18 0
锐捷技术雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	锐捷技术 11 楼 ShellExecute(handle,'open','cmd.exe',pchar(' /c /k %windir%\system32\new.exe'),'',SW_HIDE); 这个是delphi语言编写的执行命令的命令。然后调用都一般是以下API ShellExecuteA 和 WinExec 2008-8-18 18:19 0
geae 雪币： 218 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 89 粉丝 0 关注私信	geae 1 12 楼可以躲过一些杀毒软件的监控.. 2008-8-19 11:16 0
seanchan 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	seanchan 13 楼能躲开杀软的内存检测？怀疑，可能是编写者不常用一些程序运行的函数吧，一般好像新手都是这么写代码从而运行起来的，等待高手ing 2008-8-24 16:50 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 14 楼一种是内存注入，还有一种是自删除，插CMD 就是僵尸进程的行为，算内存块上的偏移，直接注入模块！ 2008-8-27 14:50 0
maomaolk 雪币： 688 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 15 楼使用函数,各种编程工具里都有这个函数的 2008-10-13 11:27 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 16 楼请问CMD如何实现内存注入？ 2008-10-14 15:18 0
烂香蕉雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	烂香蕉 17 楼可以躲过一些杀毒软件的监控.比如360 2008-10-16 08:44 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 18 楼使用cmd.exe可避开一些高级的分析软件。有些分析器可以自动跟踪的，通过cmd.exe启动，可避开分析器对进程创建的跟踪，cmd.exe启动的进程，其父进程是explorer.exe。 2008-10-17 20:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复