更新总结:
- 增强稳定性和优化使用体验
- 对进程高级注入做了专门的支持(支持远程线程注入、远程镜像注入、傀儡进程检测、进程篡改检测:Process Hollowing、Process Doppelganging、Process Ghosting等)
- 添加资源管理器(explorer.exe)加固支持,可以拦截通过APC、修改线程上下文的方式注入explorer.exe
- 添加屏幕截图、外设开启禁用等拦截支持
大约 2 分钟
更新总结:
勒索病毒是一种通过加密被感染者计算机上面的文件,并施于敲诈勒索的恶意程序。
勒索病毒会导致严重的数据安全问题,让企业、个人的核心数据资产被完全加密,从而影响正常的生产、或者让一些业务系统完全不可用,间接造成了严重的经济损失。2017年,勒索病毒借助永恒之蓝漏洞,席卷全球,造成全球超过550亿元以上的损失,让无数企业闻风丧胆。
很多程序,基本都不是仅仅程序本身就可以直接运行,经常会依赖到其他的动态库(Dynamic Link Library)。比如最基本的ntdll.dll、kernel32.dll。
程序对动态库的依赖分为两种:
静态依赖
一般程序在编译的时候会依赖一个lib,编译后在程序的导入表就会生成相应的依赖信息
动态加载
指通过LoadLibrary、LdrLoadDll的方式进行手动加载动态库的方式
上次介绍了DLL挟持原理、分析、应用(/resource/dll-hijack) 很多网友反馈说希望提供快速生成挟持模块的工具,这里详细介绍一些挟持模块的生成过程。