《CallWindowProc被宏病毒利用来执行Shellcode》文章已经归档,站长之家不再展示相关内容,下文是站长之家的自动化写作机器人,通过算法提取的文章重点内容。这只AI还很年轻,欢迎联系我们帮它成长:
简述在反病毒领域,CallWindowProc执行Shellcode的方法早在2009年就有过讨论,近期360QEX引擎团队发现有宏病毒首次使用该方法,传播敲诈者勒索软件。常见的宏病毒释放(下载) PE 文件,并执行的方法有:数据来源步骤:PE 数据来源网络(downloader),或数据来源自身病毒文档(dropper);数据执行步骤:执行 PE 使用的方式 Application.Shell 或者 Wscript.shell 或者 Win32 CreateProcess。而最新出现的样本与上述方式方法不同,由宏代码生成内存数据(为shellcode,并非直接的 PE 文件数据),并利用CallWindowProc来执行Shellcode,由Shellcode完成后续操作。病毒样本:MD5: cec4932779bb9f2a8fde43cbc280f0a9SHA256: efd23d613e04d9450a89f43a0cfb...
......
本文由站长之家用户“站长之家用户”投稿,本平台仅提供信息索引服务。由于内容发布时间超过平台更新维护时间,为了保证文章信息的及时性,内容观点的准确性,平台将不提供完整的内容展现,本页面内容仅为平台搜索索引使用。需阅读完整内容的用户,请联系作者获取原文。
(推广)
