Zararli dasturlar va ulardan himoyalanish


Download 51.52 Kb.
Pdf ko'rish
bet2/5
Sana03.12.2023
Hajmi51.52 Kb.
#1800163
1   2   3   4   5
Bog'liq
1-amaliy ish

Statik tahlil: Kovter 
Men statik tahlil uchun bajaradigan odatdagilarni o'tkazib yuboraman. Men uni 
PEStudio orqali ishga tushiraman , PE sarlavhasi tahlili, bu ko'proq narsaga 
qodir. Yaxshiyamki, u bizga fayl tomonidan ishlatiladigan kutubxonalar va 
importlarni ham taqdim etadi. 
Keling, uni ochib, batafsil ko'rib chiqaylik. Fayl nomi "PDFXCView.exe" 
bo'lib, u qandaydir PDF ko'ruvchisi bo'lib ko'rinadi, lekin biz buni boshlaganimizdan 
keyin aniq bilib olamiz. Mana ushbu bajariladigan fayl tomonidan import qilingan 
kutubxonalar haqida umumiy ma'lumot: 


Bu bajariladigan fayl tomonidan import qilingan bir nechta kutubxonalar 
ro'yxati: 
ws2_32.dll 
Windows soketlari 2 - tarmoq funktsiyalarini o'z ichiga oladi, tarmoq 
ulanishlarini yaratadi va ulanishlarni boshqaradi 
wininet.dll 
Internet kengaytmalari - HTTP, FTP kabi bir nechta protokollar bilan o'zaro 
ta'sir qilish orqali Internet resurslariga kirish 
version.dll 
Versiyani tekshirish va faylni o'rnatish - belgilangan fayllar uchun versiya 
ma'lumotlarini qaytaradi 
kernel32.dl

Windows NT Base API - asosiy funktsiyalarni o'z ichiga oladi, masalan, 
fayllar, xotira va apparat bilan manipulyatsiya 
user32.dll 
Ko'p foydalanuvchili Windows foydalanuvchi API - foydalanuvchi 
interfeysi komponentlarini saqlaydi 
advapi32.d
ll 
Kengaytirilgan Windows32 Base API - Ro'yxatga olish kitobi, xavfsizlik 
qo'ng'iroqlari, tizim holati va xizmatlarga kirish huquqiga ega rivojlangan 
Windows komponentlarini o'z ichiga oladi. 
shell32.dll Windows Shell - Windows Shell bilan bog'liq funktsiyalarni o'z ichiga oladi 
Oldinga o'tishdan oldin tahlilda foydali bo'ladigan va zararli dastur 
tomonidan ishlatilishi mumkin bo'lgan kutubxonalarni ajratib 
oling. Windows-da dasturning muvaffaqiyatli ishlashi uchun ba'zi 
kutubxonalar ko'pincha import qilinadi (ko'pincha tahlil qilish uchun 
foydasiz). 
Quyidagi juftlik API qo'ng'iroqlari ro'yxatga olish kitobini boshqarish, 
qiymatlarni o'zgartirish va boshqa kalitlarni yaratish uchun ishlatilishi mumkin. Ushbu 
xatti-harakatlar, ayniqsa, ro'yxatga olish kitobi orqali qat'iylikni aniqlash uchun 
foydalidir. Bundan tashqari, deyarli har bir konfiguratsiya va sozlamalar registrda 
saqlanadi. Agar siz ushbu qo'ng'iroqlarni kuzatsangiz, zararli dastur tomonidan 


ishlatiladigan xizmatlar yoki boshqa yo'llar uchun ro'yxatga olish kitobi kalitlarini 
topishingiz mumkin. 
RegSetValueEx 
Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va 
qiymatini o'rnating 
RegCreateKeyEx Ro'yxatga olish kitobi kalitini yarating 
RegEnumKeyEx 
Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va 
qiymatini ajratib oling 
RegQueryValue
Ex 
Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va 
qiymatini oling 
RegOpenKeyEx Muayyan kalitni oching 
RegCloseKey 
Belgilangan ro'yxatga olish kitobi kalitiga ochiq tutqichni yoping 
RegEnumValue 
Berilgan ro'yxatga olish kitobi kalit yo'lidagi qiymatlarni sanab 
o'ting 

Download 51.52 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling