[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

网友投稿 1041 2022-05-28

文章目录

一.PE病毒概念

二.什么是熊猫烧香病毒

三.熊猫烧香病毒行为分析

四.样本运行及查杀防御

五.Procmon检测病毒行为

1.软件基本介绍

2.病毒行为检测

六.总结

系统安全:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study

前文分析:

[系统安全] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向

[系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例

[系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战

[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解

[系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

[系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制

[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向

[系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及防御详解

[系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御

[系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)及防御详解

[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后)

一.PE病毒概念

首先简单给大家普及下PE病毒的基础概念和分类,方便大家理解熊猫烧香病毒的行为。

什么是PE病毒?

PE病毒是以Windows PE程序为载体,能寄生于PE文件或Windows系统的病毒程序。PE病毒数量非常之多,包括早起的CIH病毒,全球第一个可以破坏计算机硬件的病毒,它会破坏主办的BIOS,对其数据进行擦写修改。再比如熊猫烧香、机器狗等等,其危害非常之大。

什么叫感染?

说到病毒,不得不提感染。感染是指在尽量不影响目标程序(系统)正常功能的前提下,而使其具有病毒自身的功能。什么叫病毒自身的功能呢?一个病毒通常包括如下模块:

感染模块: 被感人程序同样具备感染能力

触发模块: 在特定条件下实施相应的病毒功能,比如日期、键盘输入等

破坏模块

其他模块

编写病毒的核心技术

如果我们要编写PE病毒,则需要掌握以下的关键技术:

病毒的重定位

获取API函数地址

文件搜索

内存映射文件

病毒如何感染其他文件

病毒如何返回到Host程序

PE病毒分类

以感染目标进行分类,包括:

文件感染型

将代码寄生在PE文件,病毒本身只是PE文件的一部分,依赖于感染目标,通常也叫HOST文件,控制权获得也是以目标程序运行来获得的。它分为传统感染型(以Win32汇编程序编写为主)和捆绑释放型(编写难度较低,通过高级语言均可编写,将目标程序和病毒程序捆在一起,和捆绑器有相似之处)。

系统感染型

将代码或程序寄生在Windows操作系统,该类病毒越来越多,它不感染具体文件,但是它会在操作系统中保存自己的实体。同时也可以通过系统启动的方法来获取控制权。传播途径包括:即时通信软件(如QQ尾巴)、U盘、光盘、电子邮件、网络共享、其他途径等。

熊猫烧香病毒属于捆绑释放型,其感染实现起来比较简单,目前很大一部分病毒程序都采用这种方法。捆绑释放型感染时将目标HOST程序作为数据存储在病毒体内,当执行病毒程序时,它先执行病毒程序,然后还原并执行HOST文件,从而保证被感染的程序本身能正常运行,不会引起一些异样。如下图所示,左边是一个正常程序(QQ),感染之后会将病毒放在前面,正常程序放在后面,程序运行之后,病毒会拿到控制权。但缺点是程序图标会显示前面的病毒程序,显示熊猫烧香,这是一个明显的被感染特征。

常见自启动方式

PE病毒运行之后,需要使用自启动技术保证下次开机再运行。常见的自启动方式包括:

注册表中的键值

特定路径的特定文件

系统中的特定位置,如Explorer.exe(显示桌面)。

利用系统自动播放机制Autorun.inf

比如U盘病毒或光盘病毒就是利用U盘或光盘的自动播放功能。目前,也有一些U盘插入之后,不需要你去双击这个U盘,里面的程序就会自启动。

在其他可执行文件嵌入少量触发代码

比如修改引入函数节启动DLL病毒文件(添加相应结构,初始化代码触发),或在特定PE文件代码段插入触发代码等(只需定位可执行程序并运行)。

DLL劫持:替换已有DLL文件

很多应用程序或操作系统执行时,都会去执行DLL文件,如果病毒将自身做成一个DLL文件,同时将系统DLL文件替换。可想而知,系统启动时,它是根据文件名启动的,此时病毒DLL文件就会拿到控制权,如果拿到控制权之后再进一步装载原始DLL文件,这样系统的本身机制也不会受到影响,隐蔽性更强。该方法非常常见,甚至有一些病毒程序将反病毒软件可依赖的DLL文件替换。

下图展示了Autoruns软件看到Windows操作系统进行自启动的选项。如果病毒本身能很好地结合这套机制,它可以做的事情非常多,并且具有很好的隐蔽性。

再比如我们之前分享的WinRAR漏洞(CVE-2018-20250),当恶意ACE文件被受害者解压之后,会释放恶意木马至指定目录(系统自启动文件夹),受害者重启电脑会执行恶意木马。如下图所示:

[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持

常见传播方式

一切可对外交互的渠道都可传播,包括:

各类存储设备(软盘、光盘、U盘、移动硬盘、智能设备)

各类网络通信方式(QQ、MSN、Email、淘宝旺旺、微信、微博等)

各类网络连接方式(有线、wifi、蓝牙等)

各类网络应用(迅雷、BT等)

比如通过可移动存储设备传播的非感染式病毒,即Autorun.inf。下图显示了Autorun.inf文件,如果文件存在U盘根目录,当我们双击这个U盘时,它就会触发对应的病毒,如果选择U盘盘符右键打开或打开资源管理器,这是进入的也是病毒程序。当然演示的是计算器程序。

[AutoRun] open=mspaint.exe shell\open=打开(&O) shell\open\Command=calc.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=calc.exe

最后展示Stuxnet震网事件的漏洞利用过程和启动方式,传统的Autorun方式很容易被禁止掉,而Stuxnet利用的是lnk漏洞(MS10-046),它会在目标U盘下放入lnk快捷方式及病毒程序(如DLL文件)。不管通过什么方式进入U盘,lnk文件会被解析从而触发漏洞,导致U盘中的病毒程序被执行,所以0Day漏洞也越来越多应用到安全攻击中。

二.什么是熊猫烧香病毒

熊猫烧香(Worm.WhBoy)是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2006年10月16日由25岁的湖北武汉李俊编写,2007年1月初肆虐网络,它主要通过下载的文件传染传播。

首先其可以感染exe文件,也可以将以.gho结尾的文件删除

其次是将源病毒感染到Web文件,使网页成为它传播的介质

最后是具备一定的对抗杀软能力

勒索病毒

:在2017年5月12日,一款名为WannaCry勒索病毒通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机。此后,Petya、Bad Rabbit、GlobeImposter等勒索病毒相继对企业及机构发起攻击。

挖矿木马

:伴随着比特币等虚拟数字货币交易火爆的同时,越来越多的人利用数字虚拟币交易大发横财,吸引大量黑产从业人员进入挖矿产业,这也是为什么2017年之后披露的挖矿木马攻击事件数量呈现出爆发式的增长。

APT攻击

:当前鱼叉攻击、水坑攻击、远程可执行漏洞和密码爆破攻击等手段依然是APT攻击的最主要方式。未来,Fileless攻击、将通信的C&C服务器存放在公开的社交网站上、使用公开或者开源工具、多平台攻击和跨平台攻击将成APT攻击技术的主要发展趋势。

IoT攻击

:黑客通常通过设备弱口令或者远程命令执行漏洞对IoT设备进行攻击,攻击者通过蠕虫感染或者自主的批量攻击来控制批量目标设备,构建僵尸网络,IoT设备成为了黑客最新热爱的武器。

除此之外,供应链攻击、AI对抗样本、视频语音欺骗等攻击延伸都是未来黑客技术的发展趋势,这些都应该引起我们足够的重视。这些病毒事件一方面会警醒我们网络空间安全,另一方面也会督促我们安全人员不断思考和对抗。未知攻,焉知防。

三.熊猫烧香病毒行为分析

熊猫烧香病毒有它的特殊性,也有它的通用性。下面结合第一部分PE病毒基础知识,介绍熊猫烧香病毒的基本行为。

(1) 自启动方式

熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项

这种方式也是绝大部分病毒自启动所采用的方式。

拷贝自身到所有驱动器根目录(盘符),命名为Setup.exe,在驱动器根目录生成autorun.inf文件,并把它设置为隐藏、只读、系统

autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件,即运行Setup.exe。

注意,该Setup.exe文件被设置为隐藏、只读、系统,虽然我们可以查看“隐藏的项目”,但某些隐藏的系统文件仍然是看不到的。

我们需要进一步设置,取消勾选“隐藏保护的操作系统文件”,才能显示这类文件,如下图所示。而通常设置为隐藏的系统文件是较难被觉察的,尤其当这类文件被写入到某个指定的操作系统目录中,防不胜防。

(2) 感染与传播方式

感染可执行文件

熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件,将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy{原文件名}.exe.{原文件大小}。注意,它感染的是特定目录外的,而某些系统目录是不去感染的,因为Windows系统某些可执行文件是有还原机制的,系统文件修改有时候会有报警提示。

感染网页

熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。嵌入页面后会利用如IE浏览器的漏洞来触发恶意代码,从而释放相应病毒出来。

通过弱口令传播

这种传播方式非普遍,它会访问局域网共享文件夹将病毒文件拷贝到该目录下,并改名为GameSetup.exe(模拟游戏名称);通过弱口令猜测从而进入系统C盘。

(3) 自我隐藏

禁用安全软件

熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。

自动恢复“显示所有文件和文件夹”选项隐藏功能

某些用户去看隐藏文件,会主动点击查看隐藏文件夹,但这个病毒会自动恢复隐藏。

删除系统的隐藏共享(net share)

Windows系统其实默认会开启隐藏共享 C$ ,比如早期的 IPC$ 管道等,通过net share命令可以删除隐藏共享。

下图展示了使用NTscan软件暴力爆破,该软件支持远程连接IPC $和利用字典文件。运行软件,输入IP地址“10.1.1.2”,选择IPCsan连接共享“IPC $”,成功获取了密码“123.com”。接着与目标主机建立IPC $ 空连接。

net use \10.1.1.2\ipc$ 123.com /user:administrator

(4) 破坏功能

熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击

具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。

删除扩展名为gho的文件,延长存活时间

该文件是系统备份工具GHOST的备份文件,从而使用户的系统备份文件丢失。当用户中了病毒,想去恢复时就存在困难了。

这就是一个典型的病毒案例,当然现在很多病毒功能都具有相似性,它们有经济利益趋势。当然对于不同的病毒来说,如果它的目的不一样,其行为会存在很大差异。当然熊猫烧香病毒的隐蔽性不是很好,每一个感染者都会知道自己已被感染。

四.样本运行及查杀防御

实验环境:Windows XP

实验文件:熊猫烧香.exe

正如姜晔老师说的一样,手动查杀病毒基本流程如下:

排查可疑进程

因为病毒往往会创建出来一个或者多个进程,因此需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。

检查启动项

病毒为了实现自启动,会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。

删除病毒

在上一步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺藤摸瓜,从根本上删除病毒文件。

修复被病毒破坏的文件

这一步一般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。

为什么计算机中安装了杀毒软件,还要去手动查杀呢?

因为杀毒软件存在严重的滞后性,必须要等病毒工程师抓取对应样本,并进行分析总结病毒的特征码,再加入杀软病毒库后才能识别病毒,但病毒会存在各种变种,因此手动查杀也是必要的。同时,这对我们反病毒工程师来说也是认识和熟悉病毒的过程,在技术上是非常必要的。这也是现在为什么很多云沙箱、云杀软、动态更新的技术不断出现。

实验目的:

学会基本的手动查杀理论

学会利用DOS命令行删除病毒及其影响

第一步,运行病毒前打开任务管理器观察此时打开的进程。

第二步,运行程序,可以发现任务管理器就自动关闭,并且无法再次打开(总一闪而过)。

那么,我们怎么查看系统中的进程呢?

第三步,打开CMD命令提示符,输入命令“tasklist”查看。

显示进程信息如下图所示,我们发现多出来“spoclsv.exe”进程。该程序即为熊猫烧香病毒创建出来的进程。

第四步,输入“taskkill /f /im 1684”命令强制结束这个进程,其中“/f”表示强制执行,“/im”表示文件镜像,“1684”对应PID值。如下图所示,成功杀掉该进程。

第五步,排查可疑进程之后,我们接下来查询启动项,在运行中输入msconfig。

显示如下图所示,可以看到“spoclsv”启动项。

第六步,检测该启动项创建的位置及键值。

C:\WINDOWS\System32\drivers\spoclsv.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步,我们打开注册表查看对应的值,发现创建了一个svcshare的值,并启动对应exe程序。

接着我们打开这个目录查看。

C:\WINDOWS\System32\drivers\spoclsv.exe

第八步,取消勾选“spoclsv”启动项,点击“确定”。

先暂时不重启计算机。

接着刷新注册表,发现“spoclsv”已经消失,表示启动项已经成功被删除。

第九步,我们需要删除这个病毒,这里使用CMD命令行对其进行删除。

输入“del /f spoclsv.exe”强制删除该文件,显示如下图所示,成功删除。

写到这里,我们是否真的成功清除了熊猫烧香病毒呢?

NO,该病毒还将自身复制到每一个磁盘的根目录下。

第十步,删除隐藏系统只读的文件。

输入“dir /ah”查看隐藏的文件,发现autorun.inf和setup.exe。

接着强制删除这两个文件,也可以将文件属性修改后删除。

del /ah /f autorun.inf

del /ah /f setup.exe

attrib -s -r -h setup.exe

:消除隐藏、系统、只读属性

重启系统后,所有手动查杀病毒的工作完毕,我们的系统就又恢复正常了。

五.Procmon检测病毒行为

接着我们通过Process Monitor工具来监控熊猫烧香病毒的行为。

1.软件基本介绍

Process Monitor是微软推荐的一款系统监视工具,能够实时显示文件系统、注册表(读写)、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon,其中Filemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。

Filemon:文件监视器

Regmon:注册表监视器

同时,Process Monitor增加了进程ID、用户、进程可靠度等监视项,可以记录到文件中。它的强大功能足以使Process Monitor成为您系统中的核心组件以及病毒探测工具。

Process Monitor可以帮助使用者对系统中的任何文件、注册表操作进行监视和记录,通过注册表和文件读写的变化,有效帮助诊断系统故障或发现恶意软件、病毒及木马。

下载Procmon.exe软件后,直接双击启动,Procmon会自动扫描分析系统当前程序的运行情况。其中,下图框出来的4个常用按钮作用分别为:捕获开关、清屏、设置过滤条件、查找。最后5个并排的按钮,是用来设置捕获哪些类型的事件,分别表示注册表的读写、文件的读写、网络的连接、进程和线程的调用和配置事件。一般选择前面2个,分别为注册表和文件操作。

输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等,监控项通常包括:

文件系统

注册表

进程:跟踪所有进程和线程的创建和退出操作

剖析事件:扫描系统中所有活动线程,为每个线程创建一个剖析事件,记录它耗费的核心和用户CPU时间,以及该线程自上次剖析事件以来执行了多少次上下文转换

[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看

2.病毒行为检测

第一步,打开Procmon.exe软件。

第二步,在筛选器中选择打开Procmon.exe软件,Filter中选择过滤病毒的名称“setup.exe”。

Process Name is setup.exe

然后点击添加和应用。

第三步,运行熊猫烧香病毒,可以看到它捕获了非常多的病毒信息。

第四步,首先查看病毒的Process Tree(进程树)。

可以看到setup.exe的熊猫烧香病毒程序,并衍生出一个spoclsv.exe程序。位置信息为:

C:\WINDOWS\system32\drivers\spoclsv.exe

第五步,发现spoclsv.exe程序三次打开cmd,运行net share命令删除各个磁盘共享及系统根目录共享。

net share C$ /del /y

net share Z$ /del /y:虚拟机共享功能盘

net share admin$ /del /y

此时我们总结病毒的行为:

第1点行为:创建spoclsv.exe程序并位于WINDOWS\system32\drivers目录

第2点行为:命令行模式下使用net share解除共享功能

第六步,回到Procmon软件进行深入分析。关闭其他结果,只显示注册表行为。

接着在过滤器中仅显示对注册表修改的值,如下图所示。

Operation is RegSetValue

主要修改的是Seed项,就是随机数种子的生成。但仅仅通过这个信息无法推测注册表的行为,所以该病毒对注册表并没有什么实质性影响。

第七步,查看病毒对文件的修改。

在过滤器中删除注册表的修改,然后检测熊猫烧香病毒是否创建文件,创建文件也是病毒的重要手段。

Operation is CreateFile

可以看到主要创建的文件是WINDOWS\system32\drivers目录下,其他并没有特别的东西。所以setup.exe程序对我们的系统并没有实质性影响,主要影响还是spoclsv.exe程序,所以下一步操作就是监控spoclsv.exe程序。

第八步,在过滤器中删除对setup.exe的监控,设置对spoclsv.exe程序的监控。

Process Name is spoclsv.exe

第九步,在过滤器中查看spoclsv.exe删除注册表选项。

Operation is RegDeleteValue

从这些名称可以看到它们都是常用的杀毒软件名称,其位置是CurrentVersion的Run下面,即将杀毒软件的自动启项全部删除。

第3点行为:删除安全类软件在注册表中自动启项

第十步,在过滤器中查看spoclsv.exe创建及设置的注册表键值。

Operation is RegCreateKey

Operation is RegSetValue

显示结果如下图所示,病毒设置了自启动项,要启动的本体是drivers目录下的spoclsv.exe。

第4点行为:在注册表CurrentVersion\Run创建svcshare自启动项,每次开机时会自动运行病毒

继续查看,发现它对文件实现隐藏,设置该值后,即使我们在文件夹选项中选择显示所有文件和文件夹,也无法显示隐藏文件。

第5点行为:禁用文件夹隐藏选项,修改注册表使得隐藏文件无法通过普通设置显示,从而隐藏病毒自身

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

第十一步,在过滤器中查看spoclsv.exe文件操作。

熊猫烧香病毒创建文件包括:

在C:\WINDOWS\system32\drivers中创建spoclsv.exe

磁盘根目录创建setup.exe与autorun.inf

某些目录中创建Desktop_.ini文件

由于创建这些文件之后就对注册表的SHOWALL项进行了设置,使得隐藏文件无法显示,那么有理由相信,所创建出来的这些文件的属性都是“隐藏”的。

第6点行为:将自身拷贝到根目录并命名为setup.exe,创建autorun.inf用于病毒的启动,这两个文件的属性都是“隐藏”。同时,会创建Desktop_.ini隐藏文件

第十二步,在过滤器中查看spoclsv.exe网络行为。

从监控结果可以看到,病毒会向局域网发送并接收信息,并不断尝试向外进行连接和发送数据包。

写到这里,我们基本已经分析了熊猫烧香的病毒行为,但这些行为仍然无法彻底了解病毒的行为,还需要通过OllyDbg逆向分析和IDA静态分析来实现。同时,熊猫烧香病毒还有一些其他的行为,包括:

感染EXE文件,病毒会搜索并感染系统中特定目录外的所有.EXE/.SCR/.PIF/.COM文件,并将EXE执行文件的图标改为熊猫烧香的图标。

试图用以弱口令访问局域网共享文件夹,如果发现弱口令共享,就将病毒文件拷贝到该目录下,并改名为GameSetup.exe,以达到通过局域网传播的功能。

查找系统以.html和.asp为后缀的文件并在里面插入iframe,该网页中包含在病毒程序,一旦用户使用了未安装补丁的IE浏览器访问该网页就可能感染该病毒。

删除扩展名为gho的文件,该文件是系统备份工具GHOST的备份文件,这样可使用户的系统备份文件丢失。

六.总结

写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。

PE病毒概念

什么是熊猫烧香病毒

熊猫烧香病毒行为分析

样本运行及查杀防御

Procmon检测病毒行为

同时,请读者思考几个问题。

病毒感染了多少文件,重装操作系统是否可以彻底清除病毒?

如何编写程序迅速扫描出恶意样本需要实现的操作及行为。

病毒在什么情况下需要进行图标替换?图标替换过程中可能会遇到哪些问题,如何解决?

在无文件加载中,如果DLL没有实体文件,是否可以在内存中完成DLL加载?

病毒运行一定要开启新的进程吗?

如何编写感染性病毒的清除程序?其与系统感染性病毒的清除方法有何差异?

感恩能与大家在华为云遇见!

希望能与大家一起在华为云社区共同成长,原文地址:https://blog.csdn.net/Eastmount/article/details/111706890

(By:娜璋之家 Eastmount 2021-11-12 夜于贵阳)

参考文献:

姜晔老师真的非常佩服和值得去学习,希望自己和大家的技术能不断提升,加油!

[1] [网络安全自学篇] 木马原理详解、远程服务器IPC $漏洞及木马植入实验

[2] 姜晔老师的技术空间目录 - CSDN

[3] 腾讯安全联合实验室 - 知乎文章

[4] [网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解

[5] 姜晔老师技术分享 - B站

[6] [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看

Windows 网络 通用安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:学习日记:关于听了一场腾讯技术总监讲座的学习总结
下一篇:万字长文带你详解九大数据存储引擎结构(下)
相关文章