大家好,感谢邀请,今天来为大家分享一下隐藏助手的问题,以及和隐藏浏览器助手对象的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
1、浏览器助手对象或bho是一个dll模块,它被设计为microsoft的internetexplorer网络浏览器的附件,以提供附加功能。当您的系统上安装bho时,每次启动internetexplorer时都会自动加载插件。黑客通过安装恶意bho窃取用户的在线银行密码并执行各种其他恶意活动来滥用此功能。
2、在分析mcafee检测到的特定恶意软件“convite.exe”为“pws-banker!dtl”时,我注意到一些非常有趣的事情,因此决定发布我的发现。在被恶意软件丢弃的各种文件中,一个文件特别感兴趣,称为“flashcpx.dll”,它被安装为bho。
3、当bho注册到系统上时,它会在注册表中添加各种密钥。当internetexplorer启动时,它会读取下面的注册表位置,告诉internetexplorer需要加载哪个bho。我们来看看安装在我的机器“acroiehelpershim.dll”上的adobebho的例子。
4、[hklm\\\\software\\\\microsoft\\\\windows\\\\currentversion\\\\explorer\\\\browserhelperobjects]
5、{18df081c-e8ad-4283-a596-fa578c2ebdc3}
6、在这个关键位置列出了bho的16字节clsid字符串。然后使用该字符串指向注册表中的另一个位置,告诉internetexplorer加载哪个dll模块。
7、[hklm\\\\software\\\\classes\\\\clsid\\\\{18df081c-e8ad-4283-a596-fa578c2ebdc3}\\\\inprocserver32]
8、c:\\\\programfiles\\\\commonfiles\\\\adobe\\\\acrobat\\\\activex\\\\acroiehelpershim.dll
9、现在,当恶意的“flashcpx.dll”bho被安装时,它会巧妙地隐藏它的存在,但仍然可以加载。正如你在下面看到的,clsid字符串比平常长。即使internetexplorer加载bho,添加的字符也会导致大多数工具不列出bho。
10、[hklm\\\\software\\\\microsoft\\\\windows\\\\currentversion\\\\explorer\\\\browserhelperobjects]
11、{399bface-3ada-4dae-80d8-e221812243a9}80d8-e221812243a9}
12、当internetexplorer加载bho时,浏览器只读取16字节的clsid格式{399bface-3ada-4dae-80d8-e221812243a9},然后通过正常进程加载bho。所以任何添加的字符都会被internetexplorer忽略。
13、[hklm\\\\software\\\\classes\\\\clsid\\\\{399bface-3ada-4dae-80d8-e221812243a9}\\\\inprocserver32]
14、c:\\\\windows\\\\system32\\\\flashcpx.dll
15、例如,如果我们想看看安装了什么bho,我们可以使用internetexplorer的管理加载项或使用sysinternalsautoruns.exe。两者都不显示安装的恶意bho,因为这些工具读取的是整个字符串,而不是internetexplorer的16字节clsid格式。
16、由于在[hkey_local_machine\\\\software\\\\classes\\\\clsid]中找到clsid键时字符串比推荐时间更长,因此未找到该键,因此dll模块未列出。很奇怪的是,“管理加载项”是internetexplorer的一部分,但没有列出它,但很高兴加载bho:)。
关于隐藏助手和隐藏浏览器助手对象的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。