Zararli dasturlar va ulardan himoyalanish


Download 200.49 Kb.
bet2/5
Sana07.04.2023
Hajmi200.49 Kb.
#1338063
1   2   3   4   5
Bog'liq
Amaliy ish 1

Statik tahlil: Kovter


Men statik tahlil uchun bajaradigan odatdagilarni o'tkazib yuboraman. Men uni PEStudio orqali ishga tushiraman , PE sarlavhasi tahlili, bu ko'proq narsaga qodir. Yaxshiyamki, u bizga fayl tomonidan ishlatiladigan kutubxonalar va importlarni ham taqdim etadi.
Keling, uni ochib, batafsil ko'rib chiqaylik. Fayl nomi "PDFXCView.exe" bo'lib, u qandaydir PDF ko'ruvchisi bo'lib ko'rinadi, lekin biz buni boshlaganimizdan keyin aniq bilib olamiz. Mana ushbu bajariladigan fayl tomonidan import qilingan kutubxonalar haqida umumiy ma'lumot:

Bu bajariladigan fayl tomonidan import qilingan bir nechta kutubxonalar ro'yxati:



ws2_32.dll

Windows soketlari 2 - tarmoq funktsiyalarini o'z ichiga oladi, tarmoq ulanishlarini yaratadi va ulanishlarni boshqaradi

wininet.dll

Internet kengaytmalari - HTTP, FTP kabi bir nechta protokollar bilan o'zaro ta'sir qilish orqali Internet resurslariga kirish

version.dll

Versiyani tekshirish va faylni o'rnatish - belgilangan fayllar uchun versiya ma'lumotlarini qaytaradi

kernel32.dll

Windows NT Base API - asosiy funktsiyalarni o'z ichiga oladi, masalan, fayllar, xotira va apparat bilan manipulyatsiya

user32.dll

Ko'p foydalanuvchili Windows foydalanuvchi API - foydalanuvchi interfeysi komponentlarini saqlaydi

advapi32.dll

Kengaytirilgan Windows32 Base API - Ro'yxatga olish kitobi, xavfsizlik qo'ng'iroqlari, tizim holati va xizmatlarga kirish huquqiga ega rivojlangan Windows komponentlarini o'z ichiga oladi.

shell32.dll

Windows Shell - Windows Shell bilan bog'liq funktsiyalarni o'z ichiga oladi

Oldinga o'tishdan oldin tahlilda foydali bo'ladigan va zararli dastur tomonidan ishlatilishi mumkin bo'lgan kutubxonalarni ajratib oling. Windows-da dasturning muvaffaqiyatli ishlashi uchun ba'zi kutubxonalar ko'pincha import qilinadi (ko'pincha tahlil qilish uchun foydasiz).
Quyidagi juftlik API qo'ng'iroqlari ro'yxatga olish kitobini boshqarish, qiymatlarni o'zgartirish va boshqa kalitlarni yaratish uchun ishlatilishi mumkin. Ushbu xatti-harakatlar, ayniqsa, ro'yxatga olish kitobi orqali qat'iylikni aniqlash uchun foydalidir. Bundan tashqari, deyarli har bir konfiguratsiya va sozlamalar registrda saqlanadi. Agar siz ushbu qo'ng'iroqlarni kuzatsangiz, zararli dastur tomonidan ishlatiladigan xizmatlar yoki boshqa yo'llar uchun ro'yxatga olish kitobi kalitlarini topishingiz mumkin.

RegSetValueEx

Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini o'rnating

RegCreateKeyEx

Ro'yxatga olish kitobi kalitini yarating

RegEnumKeyEx

Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini ajratib oling

RegQueryValueEx

Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini oling

RegOpenKeyEx

Muayyan kalitni oching

RegCloseKey

Belgilangan ro'yxatga olish kitobi kalitiga ochiq tutqichni yoping

RegEnumValue

Berilgan ro'yxatga olish kitobi kalit yo'lidagi qiymatlarni sanab o'ting


Download 200.49 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling