隐藏助手?隐藏浏览器助手对象
大家好,感谢邀请,今天来为大家分享一下隐藏助手的问题,以及和隐藏浏览器助手对象的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
1、浏览器助手对象或BHO是一个DLL模块,它被设计为Microsoft的InternetExplorer网络浏览器的附件,以提供附加功能。当您的系统上安装BHO时,每次启动InternetExplorer时都会自动加载插件。黑客通过安装恶意BHO窃取用户的在线银行密码并执行各种其他恶意活动来滥用此功能。
2、在分析McAfee检测到的特定恶意软件“convite.exe”为“PWS-Banker!dtl”时,我注意到一些非常有趣的事情,因此决定发布我的发现。在被恶意软件丢弃的各种文件中,一个文件特别感兴趣,称为“flashcpx.dll”,它被安装为BHO。
3、当BHO注册到系统上时,它会在注册表中添加各种密钥。当InternetExplorer启动时,它会读取下面的注册表位置,告诉InternetExplorer需要加载哪个BHO。我们来看看安装在我的机器“AcroIEHelperShim.dll”上的AdobeBHO的例子。
4、[HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\BrowserHelperObjects]
5、{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
6、在这个关键位置列出了BHO的16字节CLSID字符串。然后使用该字符串指向注册表中的另一个位置,告诉InternetExplorer加载哪个DLL模块。
7、[HKLM\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\\\\InprocServer32]
8、C:\\\\ProgramFiles\\\\CommonFiles\\\\Adobe\\\\Acrobat\\\\ActiveX\\\\AcroIEHelperShim.dll
9、现在,当恶意的“flashcpx.dll”BHO被安装时,它会巧妙地隐藏它的存在,但仍然可以加载。正如你在下面看到的,CLSID字符串比平常长。即使InternetExplorer加载BHO,添加的字符也会导致大多数工具不列出BHO。
10、[HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\BrowserHelperObjects]
11、{399BFACE-3ADA-4DAE-80D8-E221812243A9}80D8-E221812243A9}
12、当InternetExplorer加载BHO时,浏览器只读取16字节的CLSID格式{399BFACE-3ADA-4DAE-80D8-E221812243A9},然后通过正常进程加载BHO。所以任何添加的字符都会被InternetExplorer忽略。
13、[HKLM\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{399BFACE-3ADA-4DAE-80D8-E221812243A9}\\\\InprocServer32]
14、C:\\\\WINDOWS\\\\system32\\\\flashcpx.dll
15、例如,如果我们想看看安装了什么BHO,我们可以使用InternetExplorer的管理加载项或使用SysInternalsAutoruns.exe。两者都不显示安装的恶意BHO,因为这些工具读取的是整个字符串,而不是InternetExplorer的16字节CLSID格式。
16、由于在[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Classes\\\\CLSID]中找到CLSID键时字符串比推荐时间更长,因此未找到该键,因此DLL模块未列出。很奇怪的是,“管理加载项”是InternetExplorer的一部分,但没有列出它,但很高兴加载BHO:)。
关于隐藏助手和隐藏浏览器助手对象的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。