2021-09-28 网安实验-取证分析-Stuxnet病毒

最新推荐文章于 2025-04-24 11:33:51 发布
最新推荐文章于 2025-04-24 11:33:51 发布
阅读量4.8w 收藏 1
点赞数
分类专栏: 愚公系列-网络安全实验 文章标签: android windows sqlite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa2528877987/article/details/120522796
版权
本文详述了对Stuxnet病毒的取证分析过程,包括使用Volatility工具检查进程、DLL文件、API调用和驱动。通过分析发现,Stuxnet通过注入lsass.exe并创建额外进程,利用DLL注入和API钩子技术,同时在内存中创建隐藏的PE节,以逃避检测。还检查了驱动程序和注册表项,揭示了病毒如何利用系统漏洞进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

相关知识点

震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。

作为世界上首个网络“超级破坏性武器”,“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。

Volatility是开源的Windows,Linux,Mac,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。

项目地址:https://github.com/volatilityfoundation/volatility

分析Stuxnet恶意进程

1、Volatility基本使用命令

./vol.py ‐f [

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫
weixin_40191861的博客
08-20 946
Stuxnet),又称作,是一种平台上的,2010年6月首次被白俄罗斯全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的全博客。它是首个针对工业控制系统的蠕虫病毒,利用控制系统(SIMATIC WinCC/Step7)存在的漏洞感染(SCADA),能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。这次事件是有史以来第一个包含PLC的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
HBohan的博客
07-19 1640
近日,有全研究员在github上公开了”CVE-2021-1675”的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 漏洞复现 【学习全但不知道怎么开始的来call me】 ​ 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分.
stuxnet(震)的详细分析
06-12
stuxnet(震)的详细分析文档,详细分析stuxnet的每个阶段。
基于内存取证进行stuxnet 病毒分析(上)
weixin_46286477的博客
11-17 1903
基于内存取证进行stuxnet 病毒分析(上) stuxnet病毒翻译过来又叫震病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒。主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘,打印机等进行传播,无需借助络连接。通过提权的操作可以进行对其设备发送命令,造成严重的破坏。 下面本文从内存取证的角度对震病毒进行分析。 1.扫描进程之间的关系 前提知识:一个普通的 Windows XP 装只有一个 Lsass.exe 实例,Winlogon 进程在系统启动时创建它。 下面使用volat
Stuxnet病毒引发的嵌入式系统全性
07-26
Stuxnet是一种高级的病毒,曾破坏伊朗的核能,近日引起极大关注。这也成为了交织国际政治斗争和核科学的著名故事。但由此产生的许多疑问是错误的,极具误导性,并未解决根本问题。本文讨论我们为什么不应该纠缠于Stuxnet本身,我们应该思考哪些问题,以及我们何去何从。
Stuxnet_Malware_Analysis_Paper.pdf
05-10
Stuxnet恶意软件分析报告
Stuxnet-Source-main.zip
09-09
这个名为"Stuxnet-Source-main.zip"的压缩包据说是包含了Stuxnet的源代码,而密码"INFECTEDIKNOWWHATIAMDOING"则提示了访问这些敏感信息的潜在风险。 Stuxnet的独特之处在于它的复杂性和针对性。它不仅能够自我复制...
专题资料(2021-2022年)X年公需科目考试全建设与络社会治理试题库.doc
10-08
2. 络犯罪:震病毒Stuxnet)是世界上首个针对现实世界工业基础设施的络攻击工具,显示了络武器对物理世界的潜在威胁。 3. 电子政务:电子政务依赖于电子信息化硬件、数字络技术和相关软件,旨在提供更...
病毒(Stuxnet)揭秘
bugsycrack的博客
01-15 2099
大众日报》的调查结果颇有007系列小说的传奇色彩。如果对工厂设备的布局和这套系统的运行周期等情况不了解是不可能开发出这个病毒的,根据卡巴斯基的报告病毒有五个版本针对工厂plc的攻击方式就有两个版本,如果不是间谍提供了关键信息开发人员是难以编写如此有针对性的攻击性病毒的。2010年7月,“震”(Stuxnet)蠕虫攻击事件,引发了国际主流全厂商和全研究者的全面关注,卡巴斯基、赛门铁克、天等全厂商,Ralph Langne等著名全研究者,以及多国的应急组织和研究机构,都投入到了全面的分析接力中。
stuxnet病毒科普
qq_43369406的博客
03-07 2527
病毒 本文通过病毒排查方式,几个0day漏洞,病毒执行逻辑对stuxnet进行讲解。 参考“人类第一次络战争行为,震病毒是怎么被发现的,是怎么进行攻击的” https://www.bilibili.com/video/BV1r3411q7ff?from=search&seid=17833200498424434879&spm_id_from=333.337.0.0 排查方式 赛门铁克通过反汇编进行 0Day漏洞 平均一个0day漏洞价格100w rmb。 震中发现4个0day漏
Stuxnet病毒深度解析:首个攻击真实世界基础设施的病毒
华为云官方博客
01-16 7375
病毒主要是通过改变离心机的转速,来破坏离心机,并影响生产的浓缩铀质量。
Stuxnet 蠕虫病毒可能是有史以来最复杂的软件
csdm_cjm的专栏
06-13 2239
我们不知道 Stuxnet 的作者是谁,只知道大概是在2005年至2010年间编写的。这种病毒藏在 U 盘上。当 U 盘插入 PC,它会自动运行,将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通,就尝试另一种。其中的两种运行方法是全新的,使用了 Windows 的两个无人知晓的秘密 Bug。一旦蠕虫进入 PC ,它会尝试获得该 PC 的管理员权限,使用的也是前面提到的那两个...
Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯全公司VirusBlokAda发现,其名称是从代码中的关键字得来
weixin_40191861的博客
11-15 734
Stuxnet),又称作,是一种平台上的,2010年6月首次被白俄罗斯全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的全博客。它是首个针对工业控制系统的蠕虫病毒,利用控制系统(SIMATIC WinCC/Step7)存在的漏洞感染(SCADA),能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。这次事件是有史以来第一个包含PLC的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。
络战武器——震(Stuxnet)病毒
06-06 5323
title: 络战武器——震(Stuxnet)病毒 date: 2021-06-06 12:00:00 categories: - 络空间 - 络战 tags: - 络攻击 络战武器——震(Stuxnet)病毒事件 2010 年 6 月 17 日,白俄罗斯一家小 公司 VirusBlockAda 的全研究人员 发现一种能感染可移动存储设备的恶意软 件。2010年7月,“震”(Stuxnet)蠕虫攻击事件浮出水面,引发了国际主流全厂商和全研究者的全面关注,卡巴斯基、赛门铁克、.
Stuxnet 的启示
xumesang的专栏
01-24 568
1.需要有一个Payload干扰目标的保护系统; 2.工业控制是一个严格的流程,不要随意更改,在不了解细节的情况下更改,很有可能成为木桶中最短的那部分; 3.工业现场要严格保密,禁止拍照; 4.PLC往往是攻击的目标; 5.执行攻击时,让控制器重复地向监测中心发送正常的周期数据,避免被监测中心发现; 6.为了不暴露自己,不要毁灭性的的破坏目标,缩短设备的使用寿命是个不错的主意; 7.工
这些黑客经常挂在嘴边的“黑话”,你知道多少?
dzqxwzoe的博客
09-13 856
全作为一个入门门槛较高的领域,大量的专业术语还是让人如读“黑话”般的想抓耳挠腮,,看看你是否都了解呢?1.攻击工具肉鸡所谓“肉鸡”是一种很形象的比喻,比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备,用于发动络攻击。例如在2016年美国东海岸断事件中,黑客组织控制了大量的联摄像头用于发动络攻击,这些摄像头则可被称为“肉鸡”。僵尸络。
全威胁——零日攻击
热门推荐
聚集机器学习、信息安全
10-08 1万+
零日漏洞也称零时差漏洞,通常是指还没有补丁的全漏洞。由于零日漏洞的严重级别通常较高,所以零日攻击往往也具有很大的破坏性。目前,任何全产品或解决方案都不能完全防御住零日攻击。
盘点15个臭名昭著的病毒或恶意软件,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-24 1131
研究人员认为,俄罗斯情报部门重新利用了更普通的 Petya 恶意软件,将其作为针对乌克兰的络武器——因此,除了造成巨大损失之外,NotPetya 还展示了国家赞助的黑客与犯罪黑客之间的共生关系,从而在这份名单上占有一席之地。创建 Mirai 恶意软件的大学生帕拉斯·贾(Paras Jha)本想利用他创建的僵尸络进行 DoS 攻击,以帮助解决 Minecraft 服务器托管世界中的问题,但他却发动了一次攻击,主要针对一家主要 DNS 提供商,并切断了美国东海岸大部分地区的互联,持续时间长达一天。
BitDefender发布Stuxnet病毒专用清理工具
知识点一:Stuxnet蠕虫病毒概述 Stuxnet蠕虫是一种高度专业化的恶意软件,被广泛认为是第一种专门为了破坏真实世界中工业设施而设计的计算机蠕虫。它首次在2010年被发现,之后迅速引起全球全专家的注意。Stuxnet...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愚公搬代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值