电脑被远程线程注入怎么处理 360提示远程线程注入案例( 四 ) _经验知识

有很多修复可以利用。但是恶意软件最喜欢的是一些安全相关的（如DisableNX, DisableSEH, InjectDLL等）。为了安装一个shim数据库。恶意软件部署了多种方式。例如。常见的一种方式是执行sdbinst.exe 。并将它指向恶意的sdb文件。如下图。一个广告软件“Search Protect by Conduit”（Sha256:6d5048baf2c3bba85adc9ac5ffd96b21c9a27d76003c4aa657157978d7437a20）。使用shim来实现了持久化和注入。它执行一个“InjectDLL”shim到谷歌chrome中加载vc32loader.dll 。有一些现成的工具可以分析sdb文件。下面是我使用python-sdb分析的结果。

文章插图

文章插图
0x0A IAT hook和Inline hook（应用层rootkit）
IAT hook和inline hook通常也叫应用层rootkit 。IAT hook使用用于改变导入地址表的技术。当合法的程序调用位于DLL中API时。将会执行被替换的API 。相反。在inline hook中。恶意程序修改API函数本身。如下图。恶意软件FinFisher（Sha256:f827c92fbe832db3f09f47fe0dcaafd89b40c7064ab90833a1f418f2d1e75e8e）。IAT就hook了CreateWindowEx 。

文章插图

文章插图
0x0B 总结
本文中。我描述了恶意软件用于隐藏自身行为的10种不同的技术。通常。恶意软件直接注入shellcode到另一个进程中或者强制其他进程加载恶意DLL 。如下表。我已经将不同的技术进行了分类。并提供了样本。用于查看在本文提到的每个注入技术。这可以帮助研究者用于在逆向时识别各种技术。