首页
社区
课程
招聘
[求助]病毒、木马的网络行为一般用什么api实现???...
发表于: 2009-7-13 15:36 6256

[求助]病毒、木马的网络行为一般用什么api实现???...

2009-7-13 15:36
6256
菜鸟问题。病毒、木马的网络行为一般用什么api实现???...

比如,我知道下载木马、病毒,一般用URLDownloadToFile()...

那么其他的网络行为呢?一般用什么api实现,比如:
1,SMTP Engine,进行SPAM.
2,访问某个网站,Get /.... HTTP/1.1
3,FTP home
4,......

如果进行网络抓包分析的话,这些病毒、木马的包,和正常的网络协议是否有任何微小的不同?如果有不同的话,是否可以通过IPS/IDS的signature检测到?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 223
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
学习一下经验,,
配个图就更好些
2009-7-13 15:45
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
3
关键要看病毒想实现什么样的功能了。

有的病毒想从系统中窃取有价值的文件或图片就需要文件类的API。遍历系统,查找文件。

有的要通过网络传送病毒或盗窃的数据就可能会用到WinINet方面的API。

有的可能是加密的PE病毒需要修改内存属性以便动态解密代码,可能会用到内存属性调整的API。

通过查看程序引入的API函数,也是进行启发式查毒的一种方法。
2009-7-13 16:55
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个就是偶感兴趣的东东...

高手、大大、大虾、大牛们能给总结、归纳下就好了
2009-7-13 17:12
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
5
如果要专门总结这个东西可以写本书了。

多找些病毒样本分析分析就知道了。或者通过网络搜索一些典型病毒的分析报告,学习总结。

能够收集1000种不同类型的病毒的资料,总结一下,你也会成为这方面的专家了。

这个工作,与其求人,不如靠己。对自己也是很大的提高。
2009-7-13 17:23
0
游客
登录 | 注册 方可回帖
返回
//