Zararli dasturlar va ulardan himoyalanish
Download 51.52 Kb. Pdf ko'rish
|
1-amaliy ish
|
Statik tahlil: Kovter
Men statik tahlil uchun bajaradigan odatdagilarni o'tkazib yuboraman. Men uni PEStudio orqali ishga tushiraman , PE sarlavhasi tahlili, bu ko'proq narsaga qodir. Yaxshiyamki, u bizga fayl tomonidan ishlatiladigan kutubxonalar va importlarni ham taqdim etadi. Keling, uni ochib, batafsil ko'rib chiqaylik. Fayl nomi "PDFXCView.exe" bo'lib, u qandaydir PDF ko'ruvchisi bo'lib ko'rinadi, lekin biz buni boshlaganimizdan keyin aniq bilib olamiz. Mana ushbu bajariladigan fayl tomonidan import qilingan kutubxonalar haqida umumiy ma'lumot: Bu bajariladigan fayl tomonidan import qilingan bir nechta kutubxonalar ro'yxati: ws2_32.dll Windows soketlari 2 - tarmoq funktsiyalarini o'z ichiga oladi, tarmoq ulanishlarini yaratadi va ulanishlarni boshqaradi wininet.dll Internet kengaytmalari - HTTP, FTP kabi bir nechta protokollar bilan o'zaro ta'sir qilish orqali Internet resurslariga kirish version.dll Versiyani tekshirish va faylni o'rnatish - belgilangan fayllar uchun versiya ma'lumotlarini qaytaradi kernel32.dl l Windows NT Base API - asosiy funktsiyalarni o'z ichiga oladi, masalan, fayllar, xotira va apparat bilan manipulyatsiya user32.dll Ko'p foydalanuvchili Windows foydalanuvchi API - foydalanuvchi interfeysi komponentlarini saqlaydi advapi32.d ll Kengaytirilgan Windows32 Base API - Ro'yxatga olish kitobi, xavfsizlik qo'ng'iroqlari, tizim holati va xizmatlarga kirish huquqiga ega rivojlangan Windows komponentlarini o'z ichiga oladi. shell32.dll Windows Shell - Windows Shell bilan bog'liq funktsiyalarni o'z ichiga oladi Oldinga o'tishdan oldin tahlilda foydali bo'ladigan va zararli dastur tomonidan ishlatilishi mumkin bo'lgan kutubxonalarni ajratib oling. Windows-da dasturning muvaffaqiyatli ishlashi uchun ba'zi kutubxonalar ko'pincha import qilinadi (ko'pincha tahlil qilish uchun foydasiz). Quyidagi juftlik API qo'ng'iroqlari ro'yxatga olish kitobini boshqarish, qiymatlarni o'zgartirish va boshqa kalitlarni yaratish uchun ishlatilishi mumkin. Ushbu xatti-harakatlar, ayniqsa, ro'yxatga olish kitobi orqali qat'iylikni aniqlash uchun foydalidir. Bundan tashqari, deyarli har bir konfiguratsiya va sozlamalar registrda saqlanadi. Agar siz ushbu qo'ng'iroqlarni kuzatsangiz, zararli dastur tomonidan ishlatiladigan xizmatlar yoki boshqa yo'llar uchun ro'yxatga olish kitobi kalitlarini topishingiz mumkin. RegSetValueEx Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini o'rnating RegCreateKeyEx Ro'yxatga olish kitobi kalitini yarating RegEnumKeyEx Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini ajratib oling RegQueryValue Ex Muayyan ro'yxatga olish kitobi kalitining ma'lumotlar turi va qiymatini oling RegOpenKeyEx Muayyan kalitni oching RegCloseKey Belgilangan ro'yxatga olish kitobi kalitiga ochiq tutqichni yoping RegEnumValue Berilgan ro'yxatga olish kitobi kalit yo'lidagi qiymatlarni sanab o'ting Download 51.52 Kb. Do'stlaringiz bilan baham: 
|