资源段(第15课)

有些恶意样本会将它所需要的工具之类的文件隐藏在资源段中,然后在运行的时候将其释放出来。一种是申请内存,将所需要的工具释放到内存中,也就是所说的无文件运行,通过这种方法可以躲避杀毒软件的静态检测,比较安全。一种是直接将所需的工具释放到磁盘中,这种方法就没有上一种方法安全,由于将文件释放到了磁盘中,很容易被杀毒软件查杀。

 

资源段中包含了shadowbrokers.zip

如上图所示,样本名为EternalRocks.exe,在它的资源段中包含了shadowbrokers.zip,这个压缩包中包含了样本将要使用的漏洞利用程序。样本会在运行时,将这个压缩包释放到磁盘中并进行解压,然后执行文件夹中的漏洞利用程序进行攻击。

头像
微信小程序前后端全栈开发 (Node.js+Express)
  • ¥ 39.0元
  • 市场价:39.0元
C#开发实战第三季:数据库准备篇
  • ¥ 199.0元
  • 市场价:399.0元
SEO顾问 单站最低999元 整站全方位优化
  • ¥ 999元
  • 市场价:4999元
uni-app高级实战:直播app全栈开发
  • ¥ 298.0元
  • 市场价:498.0元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: