恶意代码特征_恶意代码的特性

0x01加壳
判断方法：
1.节区名字
2.熵　　加过壳的可执行文件有的节区为空熵等于0，可能所有数据全在一个一个节区里(大于0-7)

0x02行为
探查行为
FindFirstFile() FindNextFile()获取特定目录中所有文件列表
Process32First() Process32Next()获取当前系统中运行的进程列表
　函数存在于kernel32.dll
攻击行为
1.进程创建
创建进程，运行攻击命令，进程名修改为类似系统正常进程．或者远程下载恶意代码　　CreateProcess()
2.文件处理
创建恶意文件运行所需的新文件，伪造删除特定文件　CreateFile() ReadFile() WriteFile() DeleteFile()
3.钩取
拦截系统设备或进程间通信的信息，事件．　SetWindowsHookEx()

通信行为
WSASocket(),bind(),connect(),listen(),send(),recv() wsock32.dll es2_32.dll
InternetOpenUrl()等　　　　　　　　　　　　　　　wininet.dll

隐匿行为
Rootkit技术使用API　SetwindowsHHookEx(),VirtualAllocEx(),CreateRemoteThread(),OpenProcess(),LoadLibrary() kernel32.dll

创建新的windows服务函数CreateService()将自身注册为服务用于自启　　advapi.dll

自我保护
防止被逆向
调用API: IsDebuggerPresent(),CheckRemoteDebuggerPresent()检查当前是否有调试器运行

0x03字符串