手工DLL注入的检测方法研究与实现

由于恶意代码的隐藏和生存能力随着计算机系统和网络技术的发展不断提高,对恶意代码的检测技术面临着新的技术挑战,而"DLL注入"是一种常见的使用恶意代码感染正常可执行文件的手段.在深入理解了PE文件结构的基础之上,研究了一种通过手工修改PE文件来实现DLL注入的技术,并提出了一种检测PE文件中被恶意注入DLL的方法.该方法的提出对DLL注入和检测方法的研究具有积极意义.

静态修改PE输入表注入DLL的检测方法研究

该文研究静态修改PE输入表注入DLL的检测,提出了基于合法范围的普通检测方法和基于异常回溯的深度检测方法。第一种方法从静态的角度,对所有DLL的数据结构排列范围进行计算,无需解析DLL的功能来推断其是否恶意。第二种方法将调试的思想用于恶意DLL检测,控制目标程序的运行,跟踪目标程序初始化阶段中的DLL加载过程,并将调试API用于异常捕获,以实现检测。使用C++设计DLL检测实验,将编写的具有下载功能的DLL注入到目标程序,设计开发检测工具DLL Detector进行检测;实验成功地从静态阶段和程序初始化阶段检测出可疑模块。两种方法均支持32位和64位可执行文件,可防御恶意代码。

通过DLL实现向VEE开发平台的转变

本文介绍了自动测试的软件控制原理。在Windows操作系统中,应用接口直接与应用程序接口、硬件驱动程序进行通讯来达到控制测试硬件的目的。通过在VEE软件中对DLL文件的调用,可以实现对通用硬件接口卡的控制。

基于DLL的串口文件传输程序开发

文件传输是串口通信中经常涉及的一个领域 ,本文介绍了一种基于PCOMM DLL的串口文件传输的编程实现方法 ,该方法程序流程较简单但功能强大 ,可通过串口完成任何类型文件的传输。文中给出了用VC ++实现的一般过程。

软件脱壳之DLL文件脱壳

软件加壳在一定程度上可以防止破解者对程序文件的非法修改,同时可以防止程序被反编译,而我们在逆向分析这些软件时候就需要对软件进行脱壳处理。脱壳的方法有很多,DLL文件的脱壳是其中的一种,通过对重定位表的重建达到我们的目的,在此基础上我们还可以对软件本身做进一步的修改,再重新加壳。

DLL注入及检测技术研究综述

DLL(dynamic link library)注入作为目前开展隐蔽化渗透攻击的主流技术经过多年发展已形成多种类型,从最初的显式调用系统API创建远程线程逐步过渡到伪造系统DLL以及静态修改PE文件等方式.注入过程更复杂,方式更隐蔽,对检测技术也提出了更大的挑战.主要对常见的10种DLL注入技术原理进行分析.同时对当前业界主流的6种检测技术进行介绍,归纳总结各类技术优缺点,并提出该领域未来的研究方向,为后续开展DLL注入检测技术研究提供参考.

DLL系统文件冲突的解决

由于支持软件运行的DLL文件与系统自身的DLL文件发生冲突,致使我们安装的某些软件在运行时经常会出现错误。文章简要地分析了造成DLL系统文件冲突的原因,并提出了解决这一问题的思路及办法。

在VB中对并行口编程

介绍了并行口的基本内容;对DLL文件在VB中的使用方法进行了说明;介绍了在VB中检测并口是否存在和测试并口工作模式的一般方法,给出主要的测试程序;对VB中输入输出的编程方法进行了阐述并给出数据传输流程图和典型的过程与函数.

基于C++的实时数据库的设计与实现

根据仿真系统支撑平台的实时性要求 ,利用动态链接库和内存映射文件建立系统运行的实时数据库 ,通过内存映射文件开辟共享内存区 ,编制一系列封装在动态链接库的接口函数来实现对共享内存区数据的操作 .该方法既能实现多个进程数据的共享 ,又保证了实时的响应速度 .

PE可执行文件RSA验证加密机制的分析

在深入研究RSA验证加密算法和分析PE可执行文件格式的基础上,提出了PE可执行文件SRA验证加密方法,实现了PE可执行文件的RSA1024验证加密方法。实践证明该验证加密方法具有很好的安全强度。

“水下空间”视景仿真软件模块的开发研究

目前版本的Vega只能通过海洋模块仿真海面以上的场景 ,如波浪、舰船尾流等。本文分析了Vega的组成结构及工作原理。在此基础上 ,针对水下空间效果如光影、透明度、气泡等仿真的需求 ,自主开发了“水下空间”模块 ,并嵌入到Vega中。解决了Lynx关键字配置文件、GUI配置文件和Lynx插件动态链接库的开发设计等一系列相关技术 ,以VC ++6 0为开发工具 ,利用OpenGL图形库编程开发了实现模块各项功能的动态链接库。其中以“水下透明度”的实现为例 ,论述了图形学算法及程序设计方法。应用结果表明 ,该模块便捷易用 ,效果逼真 ,适用于水下空间的视景仿真。

利用API拦截技术实现串口通信数据拦截

文中介绍了API拦截技术的基本原理和应用框架,研究了实现拦截WindowsAPI函数的一种方法,最后详细说明了利用此法实现串口通信数据拦截的步骤。

Matlab与VC++混合编程综述

Matlab是一个很优秀的科学计算软件,VC++也是各种软件的开发平台的首选,如何结合他们之间的优点,进行混合编程,发挥两者的长处,对于快速开发工控软件是非常有效的。文中详细综述了基于引擎库的方法,基于动态连接库的方法,基于MEX文件的方法。

HIS系统与医保系统接口实现研究

随着当前我国医保全覆盖的深入推进,越来越多的医院开始加入到定点医保之中,从而为群众解决了很大的负担。本文针对医保系统与HIS系统在数据方面存在的不同所带来的问题,提出构建医疗保险系统接口方案,从而实现医疗保险系统与管理系统之间的数据传输,并及时将相关的信息传递给医保中心,实现持卡就医与快速报销处理,更好的为患者提供方便、快捷的服务。

基于内存映射文件的虚拟仪器设计

通过对LabVIWW软件中Chart控件的分析,指出其在实时、连续测量数据时的不足。提出了基于内存映射文件技术的虚拟仪器设计思想,给出了内存映射文件核心函数动态链接库的封装和调用方法。实例分析表明,在相同条件下,基于内存映射文件技术的虚拟仪器使系统虚拟内存的消耗减少97%,从而极大地提高了程序的响应速度,降低了虚拟仪器软件对系统硬件配置的要求。

TDMS文件及其Matlab读取方法

Matlab不支持TDMS文件的无缝读写。在比较和分析TDMS文件结构特点的基础上,运用TDM Excel Add-In Tool将TDMS文件起先读入Excel,再由Matlab读取;通过在Matlab中载入并调用DLL文件中的相关函数,实现了TDMS文件的Matlab直接读取,为后续运用Matlab分析和处理TDMS文件做好前期准备。

LabVIEW与VB混合编程技术

针对LabVIEW与VB混合编程问题,提出了两种方法——VB直接调用LabVIEW生成的可执行文件和VB调用LabVIEW生成的动态链接库文件,并以具体的例子说明了两种方法的实现过程。结果表明这两种方法能有效地实现LabVIEW与VB混合编程。

VB6.0直接调用外部EXE文件的一种方法

在VB应用程序的开发过程中 ,经常需要调用外部EXE文件。一般情况下 ,我们都是通过动态联结库 (DynamicLinkLibrary,简称DLL)来实现VB应用程序对外部EXE文件的调用 ,文章提出了一种非常简便的方法来实现这种调用。并给出了该方法的理论根据和实现步骤 ,最后进行了实例分析。

如何用外部资源扩展VFP编程

介绍了在VisualFoxPro环境下进行软件开发时 ,如何充分利用外部资源来扩展VFP的编程能力 ,并给出了有关动态链接库在VFP下的应用实例。

用OpenGL开发的STL文件仿真系统

为了实现数控机床铣削加工过程的可视化仿真,开发出针对立体光造型(STL)文件的接口程序,设计一种STL真实感显示工具(FMill).考虑到方便软件功能扩充的需要,采用了动态连接库DLL(Dynamic Link Library)技术,整个应用程序由可执行程序FMill.exe和3个动态连接库组成,即几何基础模块(Geom Base.dll)、二维图形绘制模块(glContext.dll)和几何核心模块(Geom Core.dll),克服OpenGL不具备面向对象功能的缺陷.在此基础上调用STL格式文件,以实现STL文件的真实感显示输出,并通过Master CAM 8.0输出的STL文件进行验证.