我们不仅仅做网站更懂得网络营销app大全免费

我们不仅仅做网站更懂得网络营销,app大全免费,网站建设哪家g,商业街+ logo设计沙箱工具在僵尸网络恶意软件分析中的应用与解析 1. API 挂钩技术原理 在调用进程的虚拟内存中， cwmonitor.dll 能够定位特定函数。它可以通过使用 API 函数 GetProcAddress 或者手动解析包含 Windows DLL 模块的导出地址表（EAT）来实现这一目的。为了捕获对特定函数的所…沙箱工具在僵尸网络恶意软件分析中的应用与解析1. API 挂钩技术原理在调用进程的虚拟内存中，cwmonitor.dll能够定位特定函数。它可以通过使用 API 函数GetProcAddress或者手动解析包含 Windows DLL 模块的导出地址表（EAT）来实现这一目的。为了捕获对特定函数的所有调用，会将一条 JMP 指令作为第一个操作写入该函数的代码位置。这个 JMP 操作的作用是将执行流程重定向到一个自定义的挂钩函数。以kernel32.dll中的CreateFileA函数为例，它用于打开现有文件或创建新文件。在未进行挂钩操作时，该函数的前三条指令显示在浅灰色框中，后续指令显示在深灰色框中。当安装挂钩时，浅灰色框中的操作会被 JMP 指令覆盖。在安装挂钩之前，需要将函数开头的字节保存到其他内存位置，因为后续执行原始 API 函数时可能会用到这些字节，这些保存的字节被存储在名为SavedStub的位置。当调用CreateFileA函数时，首先执行 JMP 操作，将控制权委托给挂钩函数。如果在挂钩函数内部需要调用原始 API 函数，则先执行SavedStub，然后将控制权传回原始 API 函数，接着执行深灰色框中未被修改的操作。这种 API 挂钩方式是在用户模式下最有效且便捷的方法，但容易被恶意软件检测到，因此后续版本的 CWSandbox 将采用内核模式挂钩。2. CWSandbox 分析报告概述