映像劫持
记得N年前知道有计算机病毒这一名词的时候,就有大牛说计算机病毒是同时具备操作系统与编程技术的高手才能够写出来的程序,现在回想的确不为过,道高一尺魔高一丈,传统杀毒软件都是在跟着计算机病毒的后面跑,如果真的不存在计算机病毒杀软也就成了废物,而且还浪费计算机资源。但是如今黑客产业的壮大、相关法律的不完全,都意味着计算机病毒根本就不会消失,而是一步一步的向我们的计算机系统靠拢,如果你的周围已经被病毒蠕虫弥漫的时候,那么应该怎么办?难道要每天都给硬盘分区格式化,或者拼命加内存让硬盘只读不写?所谓上有政策下有对策,这种趋势只会使得计算机病毒硬件化,到那时候估计计算机硬件与维修是最赚钱的了,每天写固件都可以赚到相当可观的一笔财富,到那是杀软只不过起一个杀毒后提醒你去修机器的作用,安装了反而要担惊受怕的,想想看,安装了查到病毒又得花钱去修机器,不安装又怕自己中了病毒不知道,其实问题只出在我们太被动,被动就容易被欺负,不要吵我中了某某病毒杀不掉、重启后又删除不了,那都是活该的,只能够怪你伸着脖子被人宰,又怪得谁呢?
主动一些才可以未卜先知,主动一些才可以反客为主。其实病毒每运行一步都会调用相关的API函数,无论是原生的还是封装的,当然不排除操作系统多如牛毛的年代,那时候病毒估计直接中断CPU了,软件防御也就失去了它的最大意义,要CPU内部做防火墙才可以。毕竟现在不是那个中断CPU的年代,所以防御还是很有用的,不会中毒的系统系统资源永远都是浪费最少的。
最近一两月病毒技术可谓是更新换代,瞧瞧都有什么……
一、映像劫持
自从出了一个美女游戏后,IFEO就被人吵的沸沸扬扬的,其实那个算不起真正的映像劫持,只不过找到微软的一个小缺口作了一个思维的小小过渡,把运行A过渡到B形象化了一些,真正的映像劫持是在内存中进行的,NtCreateProcess或NtCreateProcessEx一个进程空壳后没有从原磁盘映像地址载入主线程映像,而是而是把另一个进程的代码从内存中写入这个进程空壳并激发,所以被写入代码的进程是看不到主线程映像的,因为它的映像不在本地硬盘上存放,而是存在于内存中,可以在%temp%\XXXXXXX.tmp中找到,当然要存在被劫持的进程。
网友评论