??Rootkit是计算机病毒里比较高级的类型。通常是指计算机病毒里隐匿能力最强的病毒。
??用户层RootKit的运行特点是运行之后不退出、不创建其他进程,进程行为几乎完全模仿正常程序。普通方法很难察觉到它们的病毒目的。
这类病毒的目的多是:
??1.密码窃取病毒
??会进行密码爆破,cookie偷取,键盘记录,DNS枚举,长期藏匿于电脑中一旦得手就给远程服务器连接。
??2.感染型病毒
??HOOKAPI,代码量小,普通用户短时间内难以察觉。API捕获或者静态分析一般无效,因为大多是汇编写的经典代码。可以看改变文件的时间戳,或者用APIHOOK的扫描工具检测哪些文件操作API被HOOK了。
??Rootkit一般都不会提升自身进程权限为SeDebugPriviledge权限(当然也有)
下面每个编 代表不同文件的Rootkit,我们会分别介绍下分析它们Rootkit时会用到的强大的工具。
37.exe
??NetUserEnum函数检索服务器上所有用户帐户的信息,并动态解密出dnsapi.dll进行DNS查询和并尝试进行 络共享资源连接。
??使用ProcessMonitor也可以清晰看到进行DNS查询。
26.dll
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!