- 博客(111)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 一例MFC文件夹病毒的分析
这是一个MFC写的文件夹病毒,通过感染USB设备传播,感染后,会向c2(fecure.info:443)请求指令来执行。
2024-04-22 16:57:34
797
原创 一例Mozi僵尸网络的挖矿蠕虫分析(workminer)
这个挖矿蠕虫有点复杂,使用go和c混合编译,go语言部分分析相对简单,C语言部分分析不明白,没想到一个简单的挖矿木马背后竟然连着一个庞大的僵尸网络。
2024-04-19 17:19:33
693
原创 一例白加黑样本的分析
这是一个典型的白加黑的样本,其中使用了许多规避检测的方法,有花指令、有检测360和windows defender,内存加载dll,创建开机启动项和对注册表的操作很特别。有点疑问的话是没有传播模块,不排除钓鱼的嫌疑。
2024-04-16 17:12:52
463
2
原创 一例简单的文件夹病毒的分析
这是一个典型的文件夹病毒,使用xp时代的文件夹图标,通过可移动存储介质传播,会向下载恶意载荷执行。其病毒母体只是一个加载器,会在内存是解密加载一个反射型的dll,主要的功能是在这个dll中完成。
2024-04-10 22:49:23
626
原创 一例APC注入型病毒分析
这个病毒通过可移动存储介质传播,使用了应用层APC注入和dga域名技术,整个执行过程分为4个阶段,首先从资源节中解密出一段shellcode和一个PE,执行shellcode,创建一个同名的傀儡进程,将解密出来的PE注入这个傀儡进程中启动,然后启动并通过apc注入的方式注入系统进程svchost.exe,从内存中解密了1248个dga域名尝试连接,并执行后续的恶意操作。
2024-03-09 16:13:25
998
原创 感冒相关知识
感冒,又称为上呼吸道感染,是一种常见的病毒感染,主要影响鼻子、喉咙、喉咙和头部的上呼吸道部位。感冒通常是由不同类型的病毒感染引起的,包括鼻病毒、腺病毒、冠状病毒等。感冒的症状通常在感染后的一到三天内出现,持续时间约为7至10天。此外,一些人可能会出现其他症状,如轻度发热,喉咙发干,轻度肌肉疼痛和疲劳等。需要注意的是,感冒的症状与流感(流行性感冒)有所不同。感冒通常比流感症状较轻,而且不会引起严重的并发症。如果您有感冒症状,休息,饮食均衡,保持充足的水分摄入,并采取措施控制传播,以避免感染他人。
2024-03-04 20:39:05
993
原创 一例仙女座僵尸网络样本分析
Gamarue原来是全球最大的僵尸网络,变种很多,本文中的样本使用了多种规避检测的技术,包括傀儡进程、检测沙箱和分离免杀等技术,虽然这是10年前的样本,现在依然具有学习的价值。
2024-01-25 20:51:33
1144
原创 CobaltStrike windows木马原理分析
本文主要介绍CobaltStrike windows型木马的原理,同Meterpreter大体类似。不同之处有使用了命名管道,使用了http的相关api来下载payload,同样使用的peb来获取api的地址,最后的后门是一个反射型dll。
2023-12-28 13:12:02
1064
原创 meterpreter木马原理分析
本文主要分析meterpreter木马的原理,原理比较简单:首先会分配一段缓冲区,加载一段shellcode,在shellcode中调用win socket API与服务器端进行通信,下载一个反射型dll,在内存中加载,使用peb的方式来获取系统的api地址,C2的地址是以整数的方式存储在代码中。
2023-12-27 13:04:55
1040
原创 一例plugx样本的分析(AcroRd32cWP)
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
2023-11-14 21:32:51
344
原创 一例恶搞的样本的分析
这个病毒会将自身伪装成水印标签系统,通过感染桌面和U盘中的后缀名为的文件来传播。会监听本地的40118端口,预留一个简单的后门,利用这个后门可远程执行锁屏、关机、加密文件、开启文件共享等操作。
2023-11-08 13:09:21
361
原创 一例phorpiex僵尸网络样本分析
这例样本属于phorpiex僵尸网络家族,情报显示与GrandCrab勒索病毒有关联。该样本首先在内存中通过两次解密释放出一段shellcode,shellcode又解密并加载了一个pe,该样本会修改主机安全策略和防火墙策略,会检测沙箱环境。通过感染网络磁盘和可移动存储介质传播,会感染系统中压缩文件,会向C2下载后续攻击 载荷执行。
2023-11-02 21:45:29
329
原创 一例jse蠕虫的分析
这是一例jse格式的蠕虫病毒,会隐藏系统中所有的doc、docx和rtf文件,创建同名的.jse文件,诱导用户点击执行,通过感染U盘和网络驱动器、光盘刻录临时文件夹、html文件进行传播。使用JScript脚本编写,分析起来没有难度,但是其修改注册表的操作的还是很高明的。
2023-10-21 22:05:56
1965
3
原创 一例Vague病毒的分析
这个样本是一个典型的通过摆渡的方式进行窃密的样本,通过感染U盘进行传播(将U盘根目录的文件夹隐藏,伪造成同名文件夹,欺骗用户点击执行),将终端的信息和特定类型的文件加密压缩保存在U盘中,有自我更新的功能,该样本依赖于winrar进行压缩和打包。有两个可疑的地方,一是该样本没有网络行为,二是样本中文件起啥作用也不知道。
2023-08-20 18:28:49
271
翻译 [翻译]A Fanny Equation: “I am your father, Stuxnet“ | Securelist
翻译 卡巴斯基关于方程式组织 Fanny工具的文章
2023-08-18 22:48:15
86
原创 xred病毒分析
xred病毒是一种感染型病毒,会感染系统中特定目录下的exe和xlsx文件,该病毒会将自身伪装成Synaptics触摸板驱动程序,使用Dephi编写。使用IDR导出map文件和idc脚本idc脚本可以帮助IDA pro更好的识别dephi的结构体和函数名map文件是给OD使用的Dephi的数据结
2023-07-16 16:30:27
4029
2
原创 一例flash打包的文件夹病毒的分析
今天分析一例样本,该样本使用flask编写,使用MDM Zinc3打包成exe,使用文件夹图标,会在系统中除了C盘外所有驱动器根目录创建photo目录,将自身拷贝进去,诱导用户点击,会添加开机启动项,连接后台下载后续载荷。
2023-07-16 15:07:02
3330
原创 一例.bat脚本打包样本的分析
hosts.bat的功能是把下面3项添加到系统hosts文件,应该是与windows激活有关。banish.cmd的功能是把参数1代表的文件拷贝到%temp%\random.tmp。可以看到ExeScript关键字,说明这个程序是使用ExeScript打包的脚本。使用ExeScriptDEC程序直接提取出bat文件,不用脱壳。脱掉upx壳,用IDA打开,shift+F12查看字符串。通过关键字Anemeros,检索出一些激活工具。
2023-07-05 21:28:49
187
原创 一例Phorpiex僵尸网络样本分析
本文主要分析Phorpiex僵尸网络的一个变种,该样本通常NSIS打包,能够检测虚拟机和沙箱。病毒本体伪装为一个文件夹,通过U盘来传播,会隐藏系统中各盘符根目录下的文件夹,创建同名的lnk文件,诱导用户点击。
2023-07-02 18:56:34
972
原创 BlackIce病毒分析
blackice是一个古老的感染型病毒,可感染系统中exe、doc和xls文件,通过USB设备和网络驱动器来传播,会向C&C下载pe执行,会关闭常用的杀软进程。下面找了一个样本,这个样本的代码结构清晰,用IDA pro就能分析明白,是学习感染型病毒分析非常好的素材。
2023-05-29 20:06:28
1475
原创 一例感染型病毒样本的分析
这个样本是会释放两个dll和一个驱动模块,通过感染USB设备中exe文件传播,会向C&C下载PE执行,通过rookit关闭常用的杀软,是一例典型的感染型病毒,有一定的学习价值。
2023-04-28 12:49:15
1233
原创 Jomalone(“独狼”)的Rootkit后门dll分析
从England.sys(md5为B5F7DE342B1D661E57BCD14615CADEFA)驱动文件中提取了4个dll文件,其中两个64位dll,两个32位dll,主要用于APC注入。
2023-04-24 17:26:27
648
原创 一例H-worm vbs脚本分析
经过分析,这个样本的主要逻辑如下图所示,这是一个木马,通过U盘传播,感染主机后要定时向后台请求命令执行,通过CC域名可能匹配到该样本属于H-worm家族。用notepad++打开脚本后,发现这是一个混淆后的脚本,主要的代码在anas变量中。参考上面的逻辑编写python脚本对anas变量进行去混淆。详细的分析结果见代码注释。代码中主要的函数功能。
2023-04-14 17:16:59
680
原创 使用vscode+picgo+腾讯云搭建本地markdown编辑环境
使用markdown+vscode+picgo+腾讯云搭建本地markdown编辑环境
2023-02-27 21:58:28
783
原创 一例Trickbot家族js下载器的分析
这是一个宏病毒,内嵌了一个jse脚本,是一个PE下载器,分析重点是去混沌,第一次分析宏病毒,学到了不少东西。
2022-12-10 22:30:34
423
原创 NEMUCOD病毒jse样本分析
该病毒使用微软的JScript编写,能够直接运行在Windows操作系统之上,采用了加密和混淆手段对抗监测,可检测是否运行在虚拟机中和系统中是否存在分析工具,可感染可移动存储介质,主要功能为下载器。CC服务器为185.159.82.15,通过关联威胁情报,该样本为NEMUCOD家族样本,该病毒通过垃圾邮件传播。
2022-12-08 18:55:17
1889
原创 python代码混淆加密
混淆为了增加代码阅读的难度, 源代码的混淆非常必要, 一个在线的Python代码混淆网站. http://pyob.oxyry.com/代码混淆库 pyobfuscate 不支持python3python2 pyobfuscate.py malicious.py > malicious_obfuscated.py利用 AST 混淆源码AST,即抽象语法树,它可以将源代码以树状结构表示。Python 内置了 ast 模块,该模块通过内置函数 compile() 和 parse() 将 P
2021-11-24 19:32:31
3498
原创 windows libssh2的使用
这个是别人编译好的里面有libssh2的 .dll和.lib可以使用https://github.com/linuxbirds/libssh2git clone https://github.com/linuxbirds/libssh2.git在windows下使用libssh2进行开发ssh客户端可以进行ssh 远程管理 ssh 登陆远程执行命令等libssh 的使用样例这是的libssh2有官方库 可以参考里面的example路径的代码来测试libssh2https://github.co
2021-11-21 20:30:54
1004
原创 缓冲区溢出
环境winxp sp3vc6.0原理获取jmp esp的地址获取MessageBox和ExitProcess的地址生成shellcode#include<windows.h>//shellcodechar name[] = "\x41\x41\x41\x41\x41\x41\x41\x41" // 8 bytes 填满stack "\x41\x41\x41\x41" // 覆盖ebp "\x53\x93
2021-11-07 17:25:02
89
原创 _cdecl、_stdcall和_fastcall的区别
概述在windows开发环境中有三种觉的调用协议,分别为_cdecl C调用_stdcall 标准调用_fastcall 快速调用三种调用方式有参数传递和栈帧恢复的方式有所不同,本文在结合汇编代码简要说明一下有三种调用方式的区别。环境windows xp sp3vc6.0在VC中可以使用_cdecl、_stdcall、_fastcall来指定函数的调用方式,默认为_cdecl_cdecl_cdecl 使用的栈来传递参数,从右向左将参数入栈,需要调用者要恢复栈下面在vc环境中
2021-11-05 11:37:18
881
原创 VS2017静态编译
一般可以配置一下两项:1.项目 -> 配置属性->常规->MFC的使用 :在静态库中使用MFC。2.项目 -> 配置属性->C/C+±>代码生成->运行库 :选择 多线程调试(/MT)。编译时,在下拉框中选择的是release,win32(这个选择项在工具栏的debug选框中,一般我们使用debug方式)执行编译生成方案之后,在该工程目录下的release文件夹中,找到这个.exe文件,则可以在其它电脑上运行使用。...
2021-05-26 12:19:39
595
原创 使用vs2017+wdk10+vitualKD搭建驱动开发环境
环境win10 x64vmware workstation 14 prowin 7 旗舰版 x64 虚拟机visual studio2017 社区版WDK 10virtual KD3DrvInst.exeDbgView.exe安装visual studio2017在微软的官网下载visual studio2017的安装文件下载地址为https://visualstudio.microsoft.com/thank-you-downloading-visual-studio/?sku
2021-04-10 19:58:18
1155
原创 将博客搬至CSDN
即时起,本人的技术类文章将同步更新到CSDN上,CSDN博客地址为:https://blog.csdn.net/a854596855
2021-03-16 21:37:01
69
c++编程规范
2012-09-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人