样本中常见的敏感函数
- VirtualAlloc - 为ShellCode申请空间
- CreateFileMapping
- MapViewofFile
- VirtualProtect - 为ShellCode空间改为可读可写可执行
- CreateThread
- CreateProcess - 启动进程
- CreateToolhelp32Snapshot - 创建进程快照,检测虚拟机调试器注入等操作
- InternetOpen -
- InternetConnect - 连接到服务端
- HttpOpenRequest
- InternetSetOption - 设置C2Profile
- HttpSendRequest
- InternetReadFile - 多用于读取payload后续的核心的DLL的反射
- CopyFile - 多用于样本的自我拷贝,内网传播等
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 凌鸽技术博客!
评论