能力值:
( LV12,RANK:1010 )
|
-
-
2 楼
从石头里蹦出来的
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
回标题:过行为分析?!。?!
偶菜 其他不清楚。
想起个 cmd /c ??? 不知道哪看到的技倆?!
总结:不清楚,等大俠
|
能力值:
( LV15,RANK:340 )
|
-
-
4 楼
一般用 ShellExecuteA 和 WinExec 加载 cmd.exe /c ...
cmd /c *** 是执行完***命令后关闭命令窗口,比如加载驱动,一般是“cmd /c sc ***.sys ....”这种命令行。
至于为什么,俺也是从石头里蹦出来的
|
能力值:
( LV9,RANK:420 )
|
-
-
5 楼
不需搞破坏!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
也有用CreateProcessA实现滴
|
能力值:
( LV3,RANK:30 )
|
-
-
7 楼
应该是删除自身,或者机器狗最新版本也穿CMD!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
看起来很厉害?……
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
是不是因为cmd是windows里对DOS的接口,windows的命令行,可能这里启动程序最方便(猜的,其实也是等高手)
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
过启发扫描吧,
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
ShellExecute(handle,'open','cmd.exe',pchar(' /c /k %windir%\system32\new.exe'),'',SW_HIDE);
这个是delphi语言编写的执行命令的命令。
然后调用都一般是以下API
ShellExecuteA 和 WinExec
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
可以躲过一些杀毒软件的监控..
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
能躲开杀软的内存检测?怀疑,可能是编写者不常用一些程序运行的函数吧,一般好像新手都是这么写代码从而运行起来的,等待高手ing
|
能力值:
( LV3,RANK:30 )
|
-
-
14 楼
一种是内存注入,还有一种是自删除,插CMD 就是僵尸进程的行为,算内存块上的偏移,直接注入模块!
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
使用函数,各种编程工具里都有这个函数的
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
请问CMD如何实现内存注入?
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
可以躲过一些杀毒软件的监控.比如360
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
使用cmd.exe可避开一些高级的分析软件。有些分析器可以自动跟踪的,通过cmd.exe启动,可避开分析器对进程创建的跟踪,cmd.exe启动的进程,其父进程是explorer.exe。
|
|
|