基于Detours的Windows API Hook实现
运行平台:Windows10 64位(事实上NT内核的系统都可以)
监控进程:32位的进程
主要方法:Detours库 + 创建远程线程 + Socket
核心代码:
[TOC]
一、Detours库
Detours是微软提供的开源库,提供了可以用于hook系统API的工具。
基本原理是:Detours将Target函数前几个指令替换为一个无条件跳转,跳转到用户定义的Detours函数。被拦截的函数保存在Trampoline函数中,此外Trampoline函数还保存了Target函数所移除的指令以及一个无条件跳转,可以跳转到Target函数未被移除的部分(执行部分)。当执行完Target函数时,会跳转到用户定义的Detours函数。Detours函数执行适当的代码后返...
勒索病毒(Ransomware)概论
[TOC]
勒索病毒,又称勒索软件,是一种特殊的恶意软件,又被称为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于手法以及中毒方式。
一、传播途径
1、邮件
利用社会工程学方法欺骗受害者点击链接下载。
2、系统漏洞
例如WinXP和Win7等老旧系统存在的漏洞,使得病毒方便的在局域网甚至互联网上传播。
3、网页挂马
通过木马病毒的形式传播,将自身掩盖为看似无害的文件。
4、移动存储设备
比如U盘。
二、勒索病毒分类
主要分为两类:
1、非加密型勒索病毒
仅是单纯地将受害者的计算机锁起来。主要方式有:
1)、展示色情图片遮挡屏幕,干扰用户正常使用,比如WinLock病毒;
2)、显示网页,利用点击劫持手段干扰用...