2023年12月7日发(作者:)

的多种使用方式和检测特征

恶意软件作者通常会模仿合法的Windows进程,因此经常可以看到恶意软件伪装为、或进程,攻击者利用

的就是大多数Windows用户可能都不清楚这些系统进程在正常情况下的行为特征。

关于

用于运行DLL,即运行动态链接库。

在MSDN中,对DLL的定义如下:

动态链接库是一个模块,其中包含可以由另一个模块使用的函数或数据。

合法的

可执行文件可以是子进程也可以是父进程,具体取决于执行的上下文,为了确定一个实例是否恶意,需要确认几件

事。

1.启动它的路径

合法的进程始终位于:

(64位系统上的32位版本)

例如,如果是从%temp%调用,这种情况显然是恶意的,此外还需要在VirusTotal这样的站点上检查哈希值。

2.启动它时的命令行

实例的命令行,完全取决于要运行的内容,例如CPL文件、DLL安装等。

- “Control_RunDll","Control_RunDllAsUser"

与一起使用的常见函数为Control_RunDll和Control_RunDllAsUser.这两个函数用于运行.cpl文件或控制面板选项。

CPL即Control Panel Items(控制面板选项),是控制面板所提供功能对应的程序,是导出CPIApplet函数的DLL。

例如,System32文件夹中的文件包含两个applet,分别是鼠标和键盘属性。如果要在鼠标属性中更改指针,实际操作如下。

C: C:,Control_RunDLL C:,@0,1

可以看到,可以轻松使用恶意版本的替换原始的文件。

- 执行HTML或JavaScript

攻击者可能会在中使用另一个命令行参数”javascript“标志。

实际上,实例可以使用和javascript关键词来运行HTML或JavaScript代码。

javascript:"..mshtml,RunHTMLApplication < HTML Code >

几乎没见过这种方式的任何一次合法使用,一旦在日志中发现这类使用方法,就应立即进行应急排查。