• 最新公告
  • 联系我们
  • 地址:湖北武汉三环科技园
  • 电话:159116031100
  • 传真:027-68834628
  • 邮箱:mmheng@foxmail.com
  • 当前所在位置:首页 - 美鞋秀
  • 流氓软件及反流氓软件的技巧剖析

  •   流。邮件存储三大困扰及用户解决办法我们每天工作离不开的电子邮件,管理起来越来越困难。氓软件的技巧形形色色,任何一项功效都有可能成为流氓技术,就象兵器,用好了可以伸张正义,用歪了结成为罪行的爪牙。
      首先我从win32下的一些流氓着数剖析开端:
      1。我想做为一个流氓软件,首先要做到的是实时运行,譬如在注册表的run下,在boot下增长它的启动。这应当是比拟老的方法,以前 3721好象就是在run下,然而当初普通的人都晓得了。
      2。作为流氓软件,已经转变了以前一些木马的特征了,他没必要使本人必定要实时启动了,而是须要自己的时候再启动,譬如说翻开一个浏览器窗口,这是个别流氓软件的方法,由于他须要连上网才干有好处可图,所以浏览器确定是流氓软件一定监控的进程。
      3。应用bho插件,这种技巧早先特殊风行,这是微软供给的接口,本意是让ie阅读器能够裁减功效。每当一个ie阅读器启动的时候,都会调用bho下必要的插件,流氓软件就是应用这一点。监控了浏览器所有事件与信息。
      4。还有最笨的措施就是应用过程快照监控进程,断定有它本人所监控的过程启动,就使用atl得到浏览器指针,从而监控浏览器所有事件与信息。
      5,还有一种方式就是应用spi,这是我在网上看到的。spi是分层协定,当winsock2启动的时候都会调用它的dll,能够监控所有利用层数据包。从而监控用户信息,而且能实时启动。
       6。hook方法,hook技术可以所运用太普遍了,特殊是监控方面。所以流氓软件也不会错过。首先利用的是api函数hook,譬如windows中 心编程里的apihook类,或者微软的detous都可以实现,两者方法实在雷同就是修正idt函数进口地址。api hook。邮件签名软件任 何一封邮件都带有公司或部门统一的签名,还能加入个人的照片或图片让对方增强记忆。钩住createprocess 就可以监控进程,比进程快照机能更强,可以钩住spi下的函数可以实现spi下的所有功能。还有消息hook,鼠标新闻,键盘新闻,日子消息等等钩子,方 法切实太多,都可以利用。
      上面列举了一些流氓软件的使用方式,然而流氓软件的一个特征是他无奈卸载。所以它又要使用下面的办法了
      Exchange邮件签名这 些企业对外的邮件中如果具备统一的和出色的邮件签名无疑是展示企业形象或企业品牌的最佳窗口。由于上面的良多办法都可以删除注册表卸载他们,那怎么办呢, 那就会时时监控,它会在它的进程,或者线程里监控注册表项,设置一个轮回监控,发明没了就持续装置,增添。我想这应当是许多流氓软件的技术。
      那当初又呈现了一个新问题,那就是流氓软件的进程线程要是停止掉怎么办呢