廊坊网站建设策划站长之家网站介绍

廊坊网站建设策划,站长之家网站介绍,青岛 网站制作,重庆建站管理系统信息CWSandbox 恶意软件分析：原理与报告解读 1. API 挂钩技术 在调用进程的虚拟内存中， cwmonitor.dll 能够定位函数，可通过使用 GetProcAddress API 函数，或者手动解析包含 Windows DLL 模块的导出地址表（EAT）来实现。为了捕获对特定函数的所有调用，会将 JMP 指令作…CWSandbox 恶意软件分析：原理与报告解读1. API 挂钩技术在调用进程的虚拟内存中，cwmonitor.dll能够定位函数，可通过使用GetProcAddressAPI 函数，或者手动解析包含 Windows DLL 模块的导出地址表（EAT）来实现。为了捕获对特定函数的所有调用，会将JMP指令作为首个操作写入该函数的代码位置，此JMP操作用于将执行重定向到自定义的挂钩函数。以kernel32.dll中的CreateFileA函数为例，该函数用于打开现有文件或创建新文件。在挂钩安装前，函数的原始版本中，前三条指令显示在浅灰色框中，后续指令在深灰色框中。安装挂钩时，浅灰色框中的操作会被JMP指令覆盖，而深灰色框中的字节则保持不变。在覆盖函数引入字节之前，需要将这些字节保存到其他内存位置，即SavedStub，以便后续执行原始 API 函数。当调用CreateFileA函数时，首先执行JMP操作，将控制权委托给挂钩函数。若要在挂钩函数内部调用原始 API，需先执行SavedStub，然后将控制权传回原始 API 函数。这种 API 挂钩形式是用户模式下最有效且便捷的方式，但可能会被恶意软件检测到。因此，后续版本的 CWSandbox 将采用某种内核模式挂钩技术。此外，应用程序也可以不使用 Windo