首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

木马病毒分析

一、病毒简介这款木马从恶意网址下载东西,然后修改本地文件;SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07MD5...:56b2c3810dba2e939a8bb9fa36d3cf96SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc二、行为分析首先看看微步云沙箱分析:恶意服务器网址...三、静态分析首先查壳:通过x32dbg脱壳:看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:走到ret,进入OEP脱壳:注意一下OEP这里:接下来拖到IDA中,根据之前OEP...当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。

60750

木马病毒怎么回事?带你深度分析了解木马病毒

一、病毒简介SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194MD5:ae986dd436082fb9a7fec397c8b6e717SHA1...:31a0168eb814b0d0753f88f6a766c04512b6ef03二、行为分析老套路,火绒剑监控:这边可以看见创建了一个exe,又为他设置了注册表自启动;这里是进行网络链接操作,同时不断获取信息保存文件到本地...m=000C29AB634E&NOTE=Ni4xIDogMC4wfDV8djEuMAo=通过微步云沙箱在线进行扫描,结果如下:三、静态分析首先查查壳,这里并没有加壳,导入表信息更多是和网络操作有关的函数...:直接拖到IDA分析:开局创建互斥体防多开,检测之后就到了关键else中:3.1 sub_4011E0这里是解密函数名和模块名,随后进行加载,获取地址,那么对于这种情况没有比动态调试更简单的方法了:那么解密后的结果如下...,根据这些函数也大致知道这个木马做了些什么事:3.2 sub_403600查看此函数获取路径:那么此函数就是获取应用程序路径,继续向下看:显而易见,这里是查看当前程序路径,如果不是自己拷贝的路径,就自我拷贝

60130
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    远控木马病毒分析

    一、病毒简介SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1MD5:0902b9ff0eae8584921f70d12ae7b391SHA1...:f71b9183e035e7f0039961b0ac750010808ebb01二、行为分析同样在我们win7虚拟机中,使用火绒剑进行监控,分析行为特征:首先是一个拷贝自身,而在后面也被行为检测标蓝;...三、逆向分析拖进DIE查查壳,显示无壳:看看导入表信息:这里有检索主机信息之类的函数,还有网络链接之类的函数,基本可以确定大致行为,结合这里,在IDA中静态分析,进入winmain,F5看伪代码:以上就是...rundll32.exe,进入此函数:可以看到这里是进程遍历,返回进程信息,回到上一层:这里是启动命令行杀掉rundll32.exe,返回主函数;3.4、sub_4070E0进入函数内部:可以看到这里是设置病毒为服务并设置相关注册表版本类信息...;3.5、sub-407660这里是循环三次,找病毒本体,通过函数40766寻找,找到后进行启动,进入函数内部:这里是创建快照找相应进程的操作,而传入的参数就是Terms.exe;3.6、sub_405480

    66421

    制作chm格式木马病毒

    因此,一旦制作CHM文件木马,其传递更易,危害更广。 恰恰,CHM支持脚本语言编程,这为制作木马,产生了天然的便利条件。...是的,一个小木马已经初见雏形了。 3.POWERSHELL木马制作 由2我们已经知道CHM制作木马的整体流程了,那么,如何制作一款能够弹回shell环境的木马呢?木马的脚本又是怎么编写呢?...这不就完全暴露了自己是木马了吗? 看来直接在chm中写入powershell命令目前来说肯定是不合理的方式的。如何来解决弹框问题呢? 原作者实在是太厉害了。...6.总结 普通用户由于对CHM认知不够,对CHM文件防御心理较弱,因此制作CHM木马容易被执行。而CHM天然对脚本的支持使得制作CHM木马十分简便。...在制作CHM木马时,由于powershell的强大,因此选择powershell做为后门脚本语言。

    5.7K10

    勒索病毒-特洛伊木马变种

    ​一、病毒简介文件名称:457d9e4773f45954449ee5913d068fdbb3d8e5689019688e7bce901467e5473a文件类型(Magic):PE32 executable...开启监控:简单做一下过滤:首先看行为监控,有一个修改自启动项:路径:“C:\Users\rkvir\AppData\Local\710d60a1-9877-43e7-a996-439fa0482755\病毒样本...account:@datarestoreYour personal ID:109AJsd73yiu3hjdfgiagsMxds3LxpDLrrIrIVlqmVQ2P4y09QCIrzCYt1一个勒索病毒...四、静态分析首先拖入PEID,有UPX壳,先脱:esp定律,这里不再多说。脱壳后拖入PEID查看:随后拖入IDA中,开始分析:捣鼓了半天,没找到病毒代码,动态调试一下。...五、动态分析可以看到我们病毒样本都被修改,加了后缀名切无法恢复:恢复快照,OD附加,顺带打开火绒剑监控:前面和IDA中对照分析就好,到GetCommandLineA()这个函数的时候获取的是病毒路径:从这里分析开始

    90720

    内核级木马病毒攻防:windows恶意代码分析入门

    本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。...分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理...本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。...静态分析技术还着重于查看可执行文件链接了哪些程序库,并且从中调用了那些函数。...它的具体运用在后面进行动态分析时再进一步详解。这里先看个大概,从程序使用的链接库可以很有效的把握病毒或恶意程序的目的。

    1.4K10

    CentOS使用ClamAV查杀木马病毒

    相对Windows来说,CentOS是很少有病毒木马的,但是随着挖矿行为的兴起,服务器也越来越容易成为黑客的攻击目标,一方面我们需要加强安全防护,另外如果已经中毒,则需要使用专业工具进行查杀。...ClamAV是开源的专业病毒木马、恶意软件的查杀工具,支持多种Linux发行版,包括CentOS。...这一步耗时较长,视网络情况 sudo systemctl stop clamav-freshclam sudo freshclam 更新后,启动病毒库自动更新服务 sudo systemctl start...clamav-freshclam sudo systemctl enable clamav-freshclam 扫描病毒 sudo clamscan -r /home 扫描后,一般情况下是没有病毒的...清除病毒 sudo clamscan --infected --remove --recursive /home 参考 How to scan CentOS server for malware

    3K31

    正义病毒出现:不感染反而暗杀别的木马

    就像丧尸电影的病毒感染一样,一个咬一个,一个咬一个,最后丧尸席卷全球。 人们为这类蠕虫程序起了个形象的名字 ——“僵尸网络”。 ?...▲僵尸网络,图片来自网络 在某些方面,Mirai 比真正的丧尸病毒更可怕。 首先,它就在你周围。 我们常说未来是物联网的时代,所有一切都变得智能。对于僵尸网络来说,那将是一场饕餮盛宴。...其次,Mirai 僵尸网络还具有强大的“重生”功能,你刚把自己被感染的设备上的Mirai病毒清除,可能不到一分钟,就又被其他“丧尸”重新感染。...▲就像电影《黑客帝国》中杀不死的病毒史密斯 在过去的几个月里,Hajime 的传播速度迅速。保守估计全球受感染的设备数量已经达到数万台,中国是受感染的市场之一。 ?

    1K40

    Mispadu银行木马分析

    写在前面的话 近期,研究人员观察到了大量网络诈骗活动,通过分析之后,很多线索直指URSA/Mispadu银行木马,趋势科技将该木马标记为了TrojanSpy.Win32.MISPADU.THIADBO。...研究人员表示,Mispadu银行木马能够在感染目标用户系统之后,窃取用户的凭证信息。...木马活动分析 针对Mispadu的攻击目标,Mispadu的入口向量为垃圾邮件,这跟很多其他的恶意软件活动非常相似。...最后,VBScript还会家在AutoIT文件,这个文件负责将最终的Payload加载到目标设备的内存中,即一个包含了木马程序代码和进程的Delphi文件。...木马病毒是网络犯罪分子用来窃取银行系统用户凭证的工具之一,而垃圾邮件就是这些恶意软件最主要的传播途径。

    38010

    Android木马分析简介

    分析木马是一个2013年的syssecApp.apk,这个木马分析能对Android恶意软件有个大概了解。...2 –分析工具 2.1Dexter Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。...2.2Anubis Anubis也是一个WEB服务,应用在沙箱里运行,每个样品相互独立,来分析文件和网络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。...分析链接:http://anubis.iseclab.org/?...onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马,在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast

    1.5K90

    病毒丨熊猫烧香病毒分析

    作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串...5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:​六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,...然后拖到IDA中静态分析就可以了。

    4.6K30

    病毒分析四:steam盗号病毒

    .52pojie.cn/thread-991061-1-1.html, 样本链接: https://pan.baidu.com/s/1s6-fa6utvkFJsqQRTCT_fA 提取码: tptf 此盗号木马伪装成...a835a69b4ef12a255d3d5b8c5d3f721c SHA1值:201566a7f058d8147bb29486a59151fc7240d04f CRC32校验码: eb6e36f1 四、样本分析...到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。...结合原先病毒的传播方式,大概率会找到此进程。 然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。...QQkey盗号,接着通过qq邮箱改steam密码 向远处服务器请求,获取到pt_local_token参数 带着` pt_local_token`,对本地端口进行请求,获取所有账号信息 for循环分析每个账号信息

    2.9K30

    Linux内核级木马病毒攻防:基础工具介绍

    要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。...我们后面开发代码或调试分析其他病毒木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒木马进行”剖尸检验“,通过gdb调查木马病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程...第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个...如果要分析ELF可执行文件格式内容,一个必不可免的工具为readelf,它能有效读取elf文件内各种关键信息。该工具在后续章节中将会被大量使用。几个常用方法为: readelf - S ....同时文件/proc/kcore对应内核符号表,利用gdb加载该文件就可以对内核进行调试和分析

    1.5K10

    骷髅病毒分析

    一、病毒信息 病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86...四、行为分析 首先我们需要将病毒样本加入火绒软件信任区,让火绒不要干扰病毒程序运行,接下来打开火绒剑: 点击开始监控,然后双击运行骷髅病毒,首先可以看到骷髅病毒本体已经不见: 接下来进行过滤:...在这里我们可以详细的看到骷髅病毒的所有行为,简单的根据动作过滤来看一下病毒行为: 可以看到这里是创建了一个新的EXE,最后通过cmd删除本体。...五、静态分析 把脱壳后的1.exe拖入Ida,找到WInMain,F5: 这是主函数,相应注释都在上面: 然后进入sub_405A52(),就是简单判断自己创建服务是否已经被创建,服务名称是15654656...回到上一层,继续往下看,生成随机名称,拷贝自身在Windows目录下: 接下来就是对服务的创建启动等操作: 最后来到sub_40355B: 跟进去,可以看到这是一个删除文件函数,根据之前的行为分析

    57710
    领券