安全杂货铺

翻译 地下交易市场分析

概述参考自：https://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-black-market-ecosystem.pdf地下黑客交易市场是一个不断演变的生态系统，反映了当前黑客攻击的趋势。从这里我们可以挖掘出一些关键的信息，比如：在真实的黑客攻击事件中，黑客要用到哪些工具？以及不同的攻击事件，黑客需要多少的攻击成本？几乎每一个黑客攻击事件都涉及到攻击工具和攻击服务，即使是最基本的攻击事件，也需要几种不同的攻击工具

原创 Docker化自动模拟恶意软件环境

概述一个真实的Linux恶意软件入侵环境，往往包含有病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项，若我们只获得单一的病毒文件，很难还原出恶意软件的整个攻击环境，从而不便于对攻击链进行全面的研究分析，以及产品安全能力测试。下面，介绍一种基于Docker的方法，可以自动化模拟主机中毒的环境，一键搭建恶意软件靶机环境，方便后续对恶意软件进行研究与分析。项目地址：https://github.com/G4rb3n/Malbox使用方法使用命令docker-compose up -d即可一键部署容器

原创 使用VSCode远程调试恶意Powershell脚本

概述在野的Powershell恶意脚本总是经过多重混淆、加密，直接静态分析难以得知脚本具体有什么恶意行为，所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE，但ISE没有较友好的调试窗口，使得调试脚本时效率低下，下面，将介绍使用VSCode实现远程调试Powershell脚本，帮助你提升解密分析Powershell恶意脚本的效率。样本获取本次演示所使用的样本为一个Powershell后门，其特点是有多层恶意代码，会从C&C服务器多次加载不同payload，样本地址为：ht

原创 手工搭建简易的Linux恶意脚本分析系统

概述Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播，而且，同一个病毒家族所使用的的恶意脚本往往具有极高相似性，新变种的脚本大部分是在旧变种脚本的基础上进行修改，新增或替换部分关键恶意代码，同时，不同家族之间的恶意脚本也可能出现代码互相借鉴，部分重合的情况。该如何揭示病毒家族中恶意脚本之间的关系呢？接下来，我们就通过手工搭建一个简易的恶意脚本分析系统，来实现对恶意脚本之间关系的研究。系统的功能如下，主要为3个：[1] 使用yara检测脚本对应的病毒家族。[2] 计算脚本与样本库

原创 物联网IoT安全教程（五）-- 修复固件运行环境

之前我们学习了如何模拟运行IoT固件，但是，现实中并不是所有固件都能模拟运行成功，比如固件运行可能依赖于硬件，qemu无法完全模拟，所以，本节我们就来学习如何修复固件的运行环境，从而成功模拟固件运行。我们本次使用的固件是D-Link的DIR-605L FW_113固件，下载地址：ftp://ftp2.dlink.com/PRODUCTS/DIR-605L/REVA/拿到固件后，我们惯用的使用...

原创 病毒分析教程第十二话--使用fakenet-ng模拟C&C连接

样本MD5：E8F57996607F41B951F201F2CAFAE15D，下载地址：https://app.any.run/tasks/add02a26-c07f-49cd-8d7d-a1791369c862。这是一个木马，但由于C&C服务器不存活了，所以ANYRUN无法检测出其是否恶意，今天，我们就来通过FakeNet-NG神器，来模拟C&C服务器，以揭露出样本的完整恶意行为...

原创 自动化规则提取工具--yargen原理分析

yara是用来检测恶意软件的利器，yara规则由特征字符串、特征字节码等元素组成，只要恶意软件包含这些特征元素，就说明该文件是恶意的。但一个一个文件提特征是很耗人力的，所以业界就慢慢出现了一些出色的yara自动化提取工具，yarGen便是其中效果比较好的一个，下面，我们就通过分析该工具的源码，来了解这类工具的原理。项目地址为：https://github.com/Neo23x0/yarGen...

原创 物联网IoT安全教程（四）-- 解密路由器固件

本次我们要研究的是路由器Dlink-882的固件，下载地址在ftp://ftp2.dlink.com/PRODUCTS/DIR-882/REVA/，其中的zip文件就是各版本的固件。解压出来的固件版本从旧到新依次为：FW100B07 --> FW101B02 --> FW104B02 --> FW110B02 --> FW111B01 --> FW120B06 -...

原创 病毒分析教程第十一话 -- 使用IDA内存快照获取函数&变量

样本下载地址：https://www.hybrid-analysis.com/sample/31e8a11960d0492b64241354c567643f09f0e0278658d31e75d6f2362dbfae44/589f6600aac2ed382956ce75?lang=zh

原创 病毒分析教程第十话--动态解密payload

样本：61c19e7ce627da9b5004371f867a47d3，下载地址：https://app.any.run/tasks/e163502e-3334-46d9-aeb7-e5c925b64af7。bp VirtualProtectbp VirtualAlloc

原创 物联网IoT安全教程（三）-- 动态分析IoT固件

PS：本文所用到的程序见 – https://github.com/G4rb3n/IoT_Sec_Tutorial动态分析固件之前，需要先把固件运行起来，但我们手头又没有路由器、摄像头之类的物联网硬件，该如何运行呢？这就需要虚拟执行，虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS就是了。虚拟执行IoT固件需要用到firmadyne工具，该工具很难安装，在kali上安装一直报错，你们可以尝...

原创 物联网IoT安全教程（二）-- 静态分析IoT固件

得到固件后，若直接打开，会发现该固件被加了密，无法直接解压缩，这是厂商对该固件做了保护，防止大家逆向分析他的固件。通过frackzip工具可以破解该zip的密码，时间要挺久的，我直接告诉你吧，密码是beUT9Z。解压后发现文件夹中有多个.yaffs2后缀的文件，这些都是固件的文件。yaffs2里有几个看上去是recovery的镜像，核心的应该是2K-mdm-image-mdm9625....

原创 物联网IoT安全教程（一）-- 提取 IoT 固件

PS：本文所用到的程序见https://github.com/G4rb3n/IoT_Sec_Tutorial首先我们需要安装固件提取工具 binwalk，由于该工具的安装流程比较繁琐，建议直接使用Kali Linux，该系统默认安装有 binwalk。https://github.com/ReFirmLabs/binwalk提取固件系统的参数是-e，我们可以加上-t -vv参数查看详细的提...

原创 病毒分析教程第九话--使用IDA远程调试

恶意软件为了避免静态检测，通常会动态生成&调用敏感的字符串及系统API，这种情况就无法单纯使用IDA进行分析了，得进行调试动态地获得这些值。而IDA有个远程调试的功能，很实用，我们下面就来学习如何使用IDA进行远程调试。样本还是上一章的样本：F834F898969CD65DA702F4B4E3D83DD0我们首先运行下样本，发现该样本会创建一个新的进程并运行，这个应该是我们上一章提到的病...

原创 病毒分析教程第八话--idapython使用

idapython使用IDAPython是IDA的一款强大的插件，通过它可以对病毒代码做一些自动化的操作，常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。本次实验的样本为：F834F898969CD65DA702F4B4E3D83DD0，先使用IDA打开它，目光聚焦到上面的导航栏，有一大段绿色的数据，位于0x40C030，直觉告诉我，这是段加密后的可执行文件。在unk_4...

原创 Github自动更新脚本

使用命令行更新代码到Github时，要输入多条git指令，步骤繁琐，下面我们就来编写一个bat脚本，实现自动化更新github。脚本代码如下，其中的路径改为你自己的代码路径。@echo offecho Git自动更新脚本echo ===========================================...

原创 Python获取本地磁盘技巧

CMD命令 fsutil fsinfo drives 可以获取主机本地磁盘的列表：接下来只需要用python筛选出返回结果中的盘符字符串即可：(os.popen('fsutil fsinfo drives').read()).split()[1:]...

原创 鬼影病毒6.0分析

原理图文件名功能1001.exe主模块camhgzsswk.sys释放模块p2phook.sys释放模块的克隆p2pc.ini攻击模块配置文件safemon.dll注入攻击模块beep.sys持久化攻击模块主模块1001.exe[1]创建用户mima1，运行ipconfig进行掩饰。[2]释放病毒驱动sys文件。[3]将...

原创 VMP2.0版本带壳调试教程

样本MD5：297DE74CB20A975EFAF20CD88FDDF270在逆向分析时遇到VMP壳总是令人头疼，因为要源文件完美地从VMP壳中脱出来非常的困难。相比于VMP完美脱壳，带壳调试要简单许多，而且已经能满足调试分析的需求了，VMP分1.0、2.0、3.0，2.0，现在市面上较多见的是2.0，调试方法也较简单，下面我们就来讲解下如何带壳调试VMP2.0。使用查壳工具可以得知样本加的是...

原创 PE节段MD5计算器

最近的驱动人生，由于采用了自增肥技术，导致每次生成的病毒文件，MD5不一样，导致杀软无法通过入库进行查杀，如下所示，这些文件都是驱动人生病毒变种，文件大小以及MD5都不相同。通过逆向分析，得知该病毒自增肥的原理是在最后一个节段加入垃圾数据，使得自身MD5不唯一，但是我们发现，这些变种文件的第一个节段.data段的MD5确几乎相同，那么我们就想到，可以通过节段MD5扫描的方式来查杀这些病毒文件。...

原创 DLL劫持原理&防御方法

1.原理介绍DLL劫持指的是，病毒通过一些手段来劫持或者替换正常的DLL，欺骗正常程序加载预先准备好的恶意DLL。如下图，LPK.dll是应用程序运行所需加载的DLL，该系统文件默认在C:\Windows\system32路径下，但由于windows优先搜索当前路径，所以当我们把恶意LPK.dll放在应用程序同一路径下，便会被程序成功加载，从而执行恶意操作。2.实例分析下面以APT32攻...

原创 Windows驱动学习（十）-- 本地时间校验

教程参考自：https://www.bilibili.com/video/av26193169/?p=12代码地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT-CheckTime1. 概述很多付费软件都有个功能，先给你免费一段时间，时间过了，就提示你不能继续使用了，得购买。那么这种时间校验的功能如何实现的呢，很简单，就是通过...

原创 病毒分析教程第七话--进程注入分析（下）

进程注入分析（中）教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htmLab 12-4本节实验使用样本Lab12-04.exe。这个程序的目的是什么？从资源节加载恶意payload，然后注入到svchost.exe进程中运行。启动器恶意代码是如何隐藏执行的？使用PE注入的方式将恶意PE注入到svchost.exe中。...

原创 驱动人生病毒清除教程

首先，该病毒会通过永恒之蓝漏洞、域控PSEXEC、SMB爆破、MSSQL爆破进行传播，在清除之前，需要先确保打上了MS17-010补丁、域控服务器安全、更换高强度密码、更换高强度MSSQL密码。杀死病毒进程病毒进程svchost下的一大串可疑进程，包括powershell、cmd以及一个python图标的进程，在svchost进程上右键删除进程树，将这些进程都结束掉。还有一个独立的随机名进...

原创 py可执行文件反编译教程--exe转换py

python的便利性，使得如今许多软件开发者、黑客都开始使用python打包成exe的方式进行程序的发布，这类exe有个特点，就是可以使用反编译的方法得到程序的源码，是不是很神奇？我们接下来就开始学习如何反编译有python打包成的exe程序吧。PS：下面介绍的是使用比较广泛的pyinstaller的反编译方法。下面是一个由pyinstaller打包的勒索病毒，我们通过其图标，就可以知道它是py...

原创 Lua学习教程

1. 安装Lua环境使用Lua for Windows可以一键安装Lua环境，很方便：https://github.com/rjpcomputing/luaforwindows/releases安装成功后，就可以使用Lua编程了。2. Lua语法Lua的语法很简单，这里不累赘，可以看如下教程学习。https://www.youtube.com/watch?v=G2tUYY5pa7c&...

原创 病毒分析教程第七话--进程注入分析（中）

进程注入分析（中）教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htmLab 12-2 & Lab 12-3本节实验使用样本Lab12-02.exe。这个程序的目的是什么？从资源节加载恶意payload，然后注入到svchost.exe进程中运行。启动器恶意代码是如何隐藏执行的？使用PE注入的方式将恶意PE注入到...

原创 病毒分析教程第七话--进程注入分析（上）

进程注入分析教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htmLab 12-1本节实验使用样本Lab12-01.exe和Lab12-01.dll。在你运行恶意代码可执行文件时，会发生什么？Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数，不难想象它进行了进程注入...

原创 Windows驱动学习（九）-- 回调函数

原创 物联网病毒原理-Mirai源码分析

1.概述Mirai病毒是物联网病毒的鼻祖，由于其具备了所有僵尸网络病毒的基本功能（爆破、C&C连接、DDoS攻击），后来的许多物联网病毒都是基于Mirai源码进行更改的。所以对研究Mirai的源码可以让我们对物联网病毒有个全面的了解。项目地址：https://github.com/jgamblin/Mirai-Source-Code2.攻击流程1.黑客在黑客服务器上运行load...

原创 Windows驱动学习（八）-- 通过InlineHook实现变速齿轮

教程参考自：https://www.bilibili.com/video/av26193169/?p=9代码地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT_InlineHook1. 概述之前的章节我们介绍了FSD Hook技术，这章我们来讲解一下更底层一点的Inline Hook技术。2. 原理介绍Inline Hoo...

原创 病毒分析教程第六话--高级病毒分析（下）

高级病毒分析（下）教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htmLab 11-3本节实验使用样本Lab11-03.exe和Lab11-03.dll。使用基础的静态分析过程，你可以发现什么有趣的线索？在Lab11-03.exe包含跟“cisvc”相关的字符串，说明该程序应该会进行跟cisvc服务相关的操作，同时，该程序还...

原创 GhostPetya骷髅头病毒分析

这是主函数入口，看到如下红框，调用的函数的地址都是动态生成的，只能使用OD进行调试了。一路单步步过，没做什么操作，一开始我调试时老是跑飞，不知道病毒心代码的入口在哪，最后，才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数，这里的回调函数是0x4364AC。...

原创 病毒分析教程第六话--高级病毒分析（中）

高级病毒分析（中）教程参考自《恶意代码分析实战》程序来自：http://www.nostarch.com/malware.htmLab 11-2本节实验使用样本Lab11-02.dll和Lab11-02.ini。这个恶意DLL导出了什么？使用rundll32.exe安装这个恶意代码后，发生了什么？为了使这个恶意代码正确安装，Lab11-02.ini必须放置在何处？这个安装的恶意...

原创 病毒分析教程第六话--高级病毒分析（上）

病毒分析教程第五话–动态调试分析（下）

原创 Windows驱动学习（七）-- 内核线程

教程参考自：https://www.bilibili.com/video/av26193169/?p=8代码地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT_Thread1. 概述内核开发少不了线程的创建调用，这章就来实现线程的编程。2. 驱动编写2.1 驱动入口函数入口函数没啥代码，就是调用CreateThread函...

原创 Windows驱动学习（六）-- FSD钩子

教程参考自：https://www.bilibili.com/video/av26193169/?p=8代码地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook1. 概述FSD钩子是一种较实用的过滤方法，对比于上一章的添加键盘过滤设备，这种方法更显得简单高效。2. 驱动编写2.1 驱动入口函数入口函数简单明...

原创 Windows驱动学习（四）-- 双机调试

教程参考自：https://www.bilibili.com/video/av26193169/?p=41. 概述跟调试应用层程序不同，驱动不稳定，可能会导致蓝屏，所以我们不能在本机调试。一般的操作是在一个虚拟机中加载驱动，然后通过串口对该虚拟机的驱动进行调试。2. 虚拟机配置2.1 开启调试选项以管理员身份运行cmd。键入bcdedit命令，查看当前启动项，输出如下：纯净的系统...

原创 Windows驱动学习（五）-- 键盘过滤

教程参考自：https://www.bilibili.com/video/av26193169/?p=4代码地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT-KillProcess1. 概述跟调试应用层程序不同，驱动不稳定，可能会导致蓝屏，所以我们不能在本机调试。一般的操作是在一个虚拟机中加载驱动，然后通过串口对该虚拟机的驱...

原创 RDP日志溯源教程

1.查看登陆过本机的IP1.1打开事件事件日志我的电脑 -> 右键 -> 管理 -> 事件查看器。1.2找到RDP连接日志应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager选中Operational，右边就出现了RDP的日志信息，点击操作窗口筛选...