cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 高防CDN > 本文内容

被流量攻击_有效的_高防打不死免备案防御CDN

发布时间:2021-04-09 09:15源自:51首防安全作者:51首防安全阅读()

被流量攻击_有效的_高防打不死免备案防御CDN

偶尔,恶意软件会通过使用组件对象模型对象来实现其预期效果。组件对象模型(Component Object Model,简称COM)是一种允许软件组件通过COM对象进行通信和交互的技术。使用COM分析恶意软件时,会创建COM对象的实例,从而允许恶意软件使用与对象关联接口关联的方法(函数)。幸运的是,当您在反汇编代码中查看COM函数时,您不必具有复杂的COM知识来识别和理解它,尤其是当您使用像idapro这样功能强大的反汇编程序时。请注意下面的代码,ddos防御软件S高防行吗,其中创建了一个COM对象实例。您将立即注意到对CoCreateInstance的调用,它创建了我们将要使用的对象的实例。再往下几行,我们将看到另一个调用,它是ECX寄存器的偏移量。为了确定实际调用的是哪个函数,我们需要查看哪个接口被请求与我们的新对象通信。此信息位于名为"riid"的参数中,该参数似乎是一个偏移量。术语"riid"是指接口标识符或IID的引用。IID被表示为一个通用的唯一标识符(UUID),但在IDA中读起来有点困难。如果我们把它清理干净,它看起来像:F7898AF5-CAC4-4632-A2EC-DA06E5111AF2如果我们在Windows注册表中查询这个值,我们可以确定我们的对象需要哪个接口。恶意软件似乎想要访问INetFwMgr接口,这将允许它访问受感染计算机上的防火墙设置。要查看IDA中的接口方法,防御cc,必须为接口导入相应的结构。为此,打开structures子视图并在给出窗口焦点后按键盘上的Insert键。然后,cc攻击防御的工作方式,单击"添加标准结构"。您将看到Microsoft SDK提供的标准结构列表。在列表中选择InetFwMgrVtbl,域名ddos防御,然后单击"确定"。不要选择InetFwMgr,因为此结构不包含接口方法。现在您应该能够在IDA中看到您的结构。如果展开结构,服务器cc防御软件,应该能够看到InetFwMgr接口方法,以及继承接口IDispatch和IUnknown的方法。有了这个结构,我们前面看到的函数的标识被调用为ECX的偏移量,最终可以被揭示出来。只需单击该偏移量,然后选择适当的方法。IDA清理代码,在需要的地方向函数参数添加注释。有了这些信息,应该可以安全地说这个恶意软件对用户的防火墙策略感兴趣,很可能允许恶意软件的网络流量。如有任何问题或反馈,请参阅下面的评论。谢谢你的阅读!_________________________________________________________________Joshua Cannell是Malwarebytes的恶意软件情报分析师,他在那里进行研究和恶意软件分析。推特:@joshcannell

欢迎分享转载→ 被流量攻击_有效的_高防打不死免备案防御CDN

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -