木马病毒外挂的5点思考。

1. 分析木马，病毒，主要是要分析出该exe的流程，一般通过网上找资料，IDA逆向，主要通过分析出进程中的网址、收信息的地址。验证下文件或exe是否是pe结构。
2. 分析盗号木马或者病毒，一般可以通过木马或病毒的接收服务器已经本地保存的进行入手分析整个的流程。盗号的一般都是用LSP注入方式（注册表注入）。
3. 远控木马和最近非常流行的白加黑远控木马存在较大的差异，最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件，在传播方面至少需要三个文件，分别是rundll32.exe、黑DLL文件、黑dat文件。但是此远控木马只有一个exe文件，并且利用了暴风有效数字签名的文件；其它文件都是通过释放的方式添加到用户电脑，这在传播方面要较白加黑方便很多。
4. 分析木马，病毒或者外挂，可以通过dump方式来分析，这样才是真实的数据。还有可以通过下发送消息或者读写数据的API断点。
5. 通过释放驱动的方式，和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏，导致系统无法正常使用；另一方面通过和驱动的组合方式，和安全软件进行恶意对抗，结束众多安全软件进程。

更多安全相关的文章请关注我公众号