# group6 **Repository Path**: Akaina/group6 ## Basic Information - **Project Name**: group6 - **Description**: No description available - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 7 - **Created**: 2024-02-27 - **Last Updated**: 2024-03-29 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README ### 基于API HOOK 的软件行为分析系统 项目构建与使用文档 #### 项目概述 ​ 该项目是利用Detours开源项目包的接口,完成基本的程序行为分析,具体包括第三方的WindowsAPI截获,堆操作Api截获,文件操作Api截获,注册表Api截获以及堆,文件,注册表操作的异常分析。同时,项目提供了简单的图形界面用于展示所设计的功能。 #### 项目具体内容 ​ 在文件夹ApiHookAnalyse中,包含了Api调用及截获程序。其中,HookDll子文件夹包括了各类api的截获及分析程序,Injector子文件夹中包括了注射器程序,Samples子文件夹中包括了各类api的测试程序。 ​ /ApiHookAnalyse ​ //ApiHookAnalyse ​ //HookDll ​ FileHook.h 文件操作Api截获及分析 ​ HeapHook.h 堆操作Api截获及分析 ​ MessageBoxHook.h MessageBox Api截获及分析 ​ RegHook.h 注册表api截获及分析 ​ //Injector ​ injector.cpp 注射器程序 ​ //mysamples ​ ///file 文件操作正常及异常测试程序 ​ ///heap 堆操作正常及异常测试程序 ​ ///messagebox messagebox测试程序 ​ ///reg 注册表正常及异常测试程序 ​ 在文件夹WpfApp1中,则包含了使用Wpf编写的简易图形化程序。 ### 项目具体功能 ##### 1 实现基本的第三方进程WindowsAPI截获框架 1. 编译生成Detours库 2. 完成挂钩框架DLL,实现对MessageBox调用截获,能打印出调用的参数、进程名称以及进程Exe文件信息; 3. 自编或者利用已有恶意代码样例(包含弹出对话框动作 4. 完成注入动作开启和关闭的“注射器”控制程序 ##### 2 实现堆操作API截获 修改1.2-1.4,实现堆操作(创建,释放)API进行截获,打印出所有参数信息。 ##### 3 实现文件操作API截获 实现对文件操作(创建,关闭,读写)API进行截获,打印出所有参数信息。 ##### 4 注册表操作API截获 实现对注册表操作(创建,关闭,读写)API进行截获,打印出所有参数信息。 ##### 5 堆操作异常行为分析 设计并完成算法,记录并给出提示: 1. 检测堆申请与释放是否一致(正常); 2. 是否发生重复的多次释放(异常) ##### 6 文件操作异常行为分析 设计并完成算法,记录并给出提示: 1. 判断操作范围是否有多个文件夹; 2. 是否存在自我复制的情况; 3. 是否修改了其它可执行代码包括exe,dll,ocx等; 4. 是否将文件内容读取后发送到网络(选做); ##### 7 注册表操作异常行为分析 设计并完成算法,记录并给出提示: 1. 判断是否新增注册表项并判断是否为自启动执行文件项; 2. 是否修改了注册表; 3. 输出所有的注册表操作项; ##### 8 提供系统界面 所设计实现的功能,有图形界面展示 ### 图形化窗口使用方法 1.打开WpfApp1后会显示以下页面 ![image-20240329010735719](https://img2.imgtp.com/2024/03/29/uqYZrsjl.png) 2.点击”选择待分析样本“,选择待分析的样本程序 ![image-20240329010916731.png](https://img2.imgtp.com/2024/03/29/KS1lURzT.png) 3.点击”对样本进行分析“ ,在文本提示框的空白区域中就会给出对应的分析信息。 ![image-20240329011047502.png](https://img2.imgtp.com/2024/03/29/QnEQdy0X.png)