1.针对macOS盗版UltraEdit恶意软件的查d查深度技术剖析
2.如何正确的使用静态链接库和动态链接库
针对macOS盗版UltraEdit恶意软件的深度技术剖析
在近期,MalwareHunterTeam的源码源码专家揭露了一起涉及盗版macOS程序的恶意软件事件。该程序文件名是查d查“ultraedit.dmg”,内含一个名为“libConfigurer.dylib”的源码源码恶意库。最初发现时间在年。查d查本文将深入分析此次事件,源码源码乐商源码从磁盘镜像文件入手,查d查进而探讨恶意动态库的源码源码详细内容。
macOS用户熟悉UltraEdit,查d查这是源码源码一款功能强大的文本与十六进制编辑器,支持大型文件编辑。查d查然而,源码源码盗版版的查d查UltraEdit应用程序隐藏着风险。在VirusTotal平台,源码源码该样本被数十家反病毒软件标记,查d查但标记名称并不特定,c 网站监控 源码如“Trojan.MAC.Generic”或“Trojan-Downloader.OSX.Agent”,这使得识别恶意软件类型变得困难。
通过加载磁盘镜像,我们发现该盗版程序被挂载至/Volumes/UltraEdit .0.0.,且无任何签名信息,而正版UltraEdit应用程序则包含合法签名。在盗版软件中寻找恶意组件,通常较为困难,特别是对于大型应用而言。然而,我们成功识别了一个名为“libConfigurer.dylib”的恶意组件。
该组件为无符号位(Intel)dylib库,也被VirusTotal平台标记。它被添加为依赖库,意味着当用户启动盗版UltraEdit时,彩票程序源码破解此库会自动加载。通过反汇编工具,我们发现其中包含了一个名为initialize的构造器,执行此构造器后,会下载并执行名为download.ultraedit.info的代码。
下载的代码文件被转储为/tmp/.test和/Users/Shared/.fseventsd,文件内容通过解码后,似乎与已知的恶意软件Khepri相关联,这是一款基于Golang和C++开发的开源跨平台代理+后渗透工具。同时,libConfigurer.dylib从download.ultraedit.info下载的文件也包含了一些混淆的Mach-O源码。
进一步分析显示,.test文件似乎是恶意软件的一部分,它使用/usr/local/bin/ssh执行,这可能用于远程控制或数据传输。怎么用源码网站而.fseventsd文件则通过文件监控器实现持久化,每次用户登录时自动启动或重启。
总结此次事件,盗版UltraEdit应用程序不仅引入了恶意动态库,还通过网络下载和执行了额外的恶意代码。恶意软件组件通过混淆和持久化技术,增加了检测和移除的难度。在分析过程中,我们使用了多种工具,包括VirusTotal、otool、nm、反汇编工具等,以及第三方安全资源和开源工具,以获得更全面的拐点线指标源码理解和证据。
面对此类恶意软件,用户应避免下载和使用盗版软件,以保护系统安全。同时,持续监控和更新防病毒软件也是防范恶意软件的重要措施。尽管本文中详细介绍了此次事件的分析过程,但请注意,恶意软件的变种和更新不断,因此保持警惕和采用多层安全防护策略是应对恶意软件的关键。最终,确保系统的安全性,避免遭受潜在的威胁。
如何正确的使用静态链接库和动态链接库
动态库和静态库
在Win下,动态库以.dll结尾,静态库以.lib结尾。
在Linux下,动态库文件以.so结尾,静态库以.a结尾。
在Mac下,动态库以.dylib结尾,静态库以.a结尾。
动态库的优势和劣势
动态函数库在编译的时候并没有被编译进目标代码中,你的程序执行到相关函数时才调用该函数库里的相应函数,因此动态函数库所产生的可执行文件比较小。由于函数库没有被整合进你的程序,而是程序运行时动态的申请并调用,所以程序的运行环境中必须提供相应的库。 动态函数库的改变并不影响你的程序,所以动态函数库的升级比较方便。
某个程序在运行时要调用某个动态链接库函数的时候,OS首先查看所有正在运行的进程,找找看是否已经有人载入了这个库。如果有的话,直接用。如果没有才会载入。这样的第一个优点就是节省内存空间。动态调入意味着是等需要的时候才调入内存,而不是不管用不用都要先放到内存里来。
我如果想要升级某个软件。如果升级的位置是在dll里,那软件其他的部位不需要重新编译链接。所以升级方便。
静态库的优势和劣势
利用静态函数库编译成的文件比较大,因为整个函数库在编译时都会被整合进目标代码中,他的优点就显而易见了,即编译后的执行程序不需要外部的函数库支持,因为所有使用的函数都已经被编译进去了。当然这也会成为他的缺点,因为如果你静态链接的函数库改变了,那么你的程序必须重新编译。
代码更精简,因为不必做版本检查。
程序分发时文件个数少,因为静态链接到源文件里了。
只编译进来库中所用的部分,而不用整个库。
生成的binary占空间更大。
重复的库可能出现在多个进程,浪费内存。
库内部更新的话需要重新编译binary。
Linux平台的静态库
静态库的生成静态库的链接
Linux平台的动态库
动态库的生成动态库的链接
Windows平台的静态库
静态库的生成/MT 使用 LIBCMT.lib 编译以创建多线程可执行文件。生成静态库lib。
静态库的链接1、在使用链接库的代码开头加入,第二行是要调用的链接库里的函数:
2、将要调用的链接库的lib放入项目源代码中,然后编译。(编译的时候不需要dll。这里把静态部分lib编译进了exe,但动态库dll还没用。)
3、运行之前要把dll放到exe目录下。
Windows平台的动态库
动态库的生成/MD 使用 MSVCRT.lib 编译以创建多线程 DLL。生成动态库。
动态库的链接1、 LoadLibrary(或MFC 的AfxLoadLibrary),装载动态库。
2、 GetProcAddress,获取要引入的函数,将符号名或标识号转换为DLL内部地址。
3、 FreeLibrary(或MFC的AfxFreeLibrary),释放动态链接库。