对不起,我又挫B了,居然连这个方法都不知道。
转载一下:
http://blog.w4kfu.com/tag/duqu
还有好多要学的东西啊! 路漫漫其修远兮~
样本里的一些东西:
ZwQueryInformationProcess ProcessDebugPort 查看是否被调试
ZwSetInformationThread ThreadInformationClass 0x11 是否被调试
GetShellWindow
GetWindowThreadProcessId 拿到explorer进程ID