木马病毒外挂的5点思考。

最新推荐文章于 2022-05-12 10:02:40 发布
最新推荐文章于 2022-05-12 10:02:40 发布
阅读量3.5k 收藏 4
点赞数 8
分类专栏: 笔记 游戏安全 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/111884559
版权
游戏安全 同时被 3 个专栏收录
19 篇文章 1 订阅
订阅专栏
逆向
19 篇文章 4 订阅
订阅专栏
笔记
9 篇文章 1 订阅
订阅专栏
  1. 分析木马,病毒,主要是要分析出该exe的流程,一般通过网上找资料,IDA逆向,主要通过分析出进程中的网址、收信息的地址。验证下文件或exe是否是pe结构。
  2. 分析盗号木马或者病毒,一般可以通过木马或病毒的接收服务器已经本地保存的进行入手分析整个的流程。盗号的一般都是用LSP注入方式(注册表注入)。
  3. 远控木马和最近非常流行的白加黑远控木马存在较大的差异,最近发现的白加黑远控最大的特点就是利用了系统文件rundll32.exe文件外加一个黑的dll文件,在传播方面至少需要三个文件,分别是rundll32.exe、黑DLL文件、黑dat文件。但是此远控木马只有一个exe文件,并且利用了暴风有效数字签名的文件;其它文件都是通过释放的方式添加到用户电脑,这在传播方面要较白加黑方便很多。
  4. 分析木马,病毒或者外挂,可以通过dump方式来分析,这样才是真实的数据。还有可以通过下发送消息或者读写数据的API断点。
  5. 通过释放驱动的方式,和驱动文件组合的形式对抗安全软件进程。一方面通过多种方式对系统进行破坏,导致系统无法正常使用;另一方面通过和驱动的组合方式,和安全软件进行恶意对抗,结束众多安全软件进程。

更多安全相关的文章请关注 “小道安全” 公众号

 

小道安全
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
根据error_log发现图片木马,被上传到图片文件夹
az12az12的博客
05-04 3万+
发现图片木马: [18-Apr-2019 09:26:26 Etc/GMT] PHP Warning: file_get_contents(http://23.252.161.21:8686/8group/a.jpg): failed to open stream: Connection timed out in /home/xydsjkfz/public_html/uploads/allimg...
手机木马病毒的探讨
HITO的专栏
09-25 1122
       现在手机病毒越来越多的出现报刊杂志上,就我对手机病毒的了解,现在国内的手机病毒还不是严重。主要有两个原因使手机病毒不可能在手机间大规模的传播。1:手机生产商之间产品互相不兼容,病毒不能跨平台传播,只能针对某一品牌的缺陷发动攻击。2:手机运算能力不够,不能够支持手机病毒的运算。       现在防范手机病毒的技术一般是通过过滤符合匹配的条件的短信,添加来电防火墙。通过手机用户的设定拒绝
木马外挂技术,隐藏进程,为所欲为
weixin_34007020的博客
05-30 128
在2000和xp下,隐藏进程   头文件:////////////////////////////////////////HideProcess.hBOOL HideProcess(); CPP源文件:///////////////////////////////////////////////////////////////////////////////HideProcess.cpp#incl...
外挂和病毒编写
YKlmc的专栏
03-16 597
一、先说一下写一个外挂需要什么条件 1、熟练的C语言知识 目前的外挂大部分都是用BC或者是vc写的,拥有熟练的C语言知识是写外挂的基本条件。 2、具有很强的汇编基础 一般游戏都不可能有原代码的,必须靠反汇编或者跟踪的办法来探索其中的机理,所以有强的汇编基础也是必不可少的条件。 3、熟练掌握跟踪和调试的工具 有了上面2个条件后,掌握一些工具也是很有必要的跟踪的工具,softice
20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告
weixin_30239339的博客
11-29 470
20155231 20155234 信息安全技术 实验四 木马及远程控制技术 实验报告 姓名: 邵煜楠 学号: 20155231 日期: 2017.11.21 姓名: 昝昕明 学号: 20155234 日期: 2017.11.21 一、实验环境 操作系统:windows7 实验工具:灰鸽子远程控制、监控器、协议分析器 二、实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 三、实...
木马与病毒
03-26
木马与病毒的定义、区别和防范方法 在计算机安全领域中,木马和病毒都是常见的恶意代码,但它们之间有着明显的区别。木马是指隐藏在正常程序中的恶意代码,具备破坏和删除文件、发送密码、记录键盘和攻击 Dos 等...
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析。
木马病毒专家 v2.46
03-14
一款专业的反病毒、反木马软件,集传统的病毒库技术与新一代的病毒木马智能识别技术与一体,不但可查杀已知病毒木马,对于未知的各类病毒木马更有很强的识别能力,兼以可疑文件扫描系统,在线木马识别系统相辅助,...
木马病毒防治技术研究及系统实现
08-14
木马病毒防治技术研究及系统实现,秘密信道、时频分析、木马检测
C++木马病毒的查杀设计与实现(含源码)
12-04
本话题主要探讨的是如何利用C++技术设计和实现一个木马病毒的查杀工具,这涉及到多个重要的知识。 1. **恶意代码分析**:查杀木马病毒的第一步是对恶意代码进行分析。这通常包括静态分析(不执行代码,仅通过反...
CWB中文语义词库
01-11
中文语义词库, 也是稍有特色的汉语语义词典。它含有 10 万以上的词条, 每个词条通过关系比较密切的相关词 (例如同义词、反义词、上位词、下位词等) 与其它词条相连结
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1267
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
盗号木马分析
u011636170的专栏
11-22 3243
木马共采用vb和c#两种外壳,来保护真正的核心代码,并采用采用对核心代码加密来躲避杀软,从执行到结束都在内存中,无交互,收集完信息之后直接通过RC4加密后发送到C&C服务器,同时里面有很多反虚拟机和反分析技术。发送完信息直接删除原文件,消失的无影无踪。经分析发现,此盗号木马通过本地的一些配置、缓存、.dat文件可以盗取多种FTP、浏览器、邮箱、虚拟币的账号和密码。代码分析 此木马一共分为两个版本分
常见手机病毒学习总结
bcbobo21cn的专栏
07-30 9567
常见的手机病毒有哪些种类 破坏系统、盗取账号、盗取网银等 手机病毒种类  手机病毒按病毒形式四类:  1.通红传送蓝牙设备传播病毒卡比尔、Lasco.A  知识:  卡比尔( Cabir)种网络蠕虫病毒染运行Symbian操作系统手机手机该病毒使用 蓝牙线功能邻近其存漏洞手机进行扫描发现漏洞手机病毒复制自并发送该手机 
CTFweb篇-一句话木马
weixin_44597701的博客
08-05 5424
什么是一句话木马 一句话木马就是将一段代码植入服务器中,然后通过蚁剑就可以直接拿到webshell 最简单的一句话木马: <?php @eval($_POST['attack']) ?> 通常这句话就能让密码为attack,至于为什么,这需要祥看蚁剑的原理 为了防止D盾的阻拦,经常可以使用不同的混淆来绕开D盾 一句话木马的条件 (1)木马上传成功,未被杀; (2)知道木马的路径在哪; (3)上传的木马能正常运行。 例题 先用御剑扫描一下 发现后台地址 然后进入输入root 密码空(至于为什
arm汇编中DCB、DCW、DCD、DCQ指令
热门推荐
深耕安全技术研究
05-12 1万+
背景 在ida中进行分析so文件,就是elf文件,它所对应的arm汇编,在汇编中会时常碰到一些下面的汇编指令。DCB是arm汇编中的伪指令,下面就针对这个指令相关做下小记录。 伪指令及DC系列指令 ARM 伪指令它不是ARM 指令集中的指令,只是为了方便编译器编程而定义的指 令,使用时可以像其他ARM 指令一样使用,但在编译时这些指令将被等效的ARM 指令代替。 DCB它关联的伪指令有DCB、DCW、DCD、DCQ指令。它们都是用于分配一段内存单元,并对其进行做初始化工作。不过它们分配的内存空间大小不同
android下注入技术详解
深耕安全技术研究
03-22 1万+
Android注入技术
IDA交叉引用详解
深耕安全技术研究
05-13 3106
交叉引用1.代码交叉引用2. 数据交叉引用3. 交叉引用列表 1.代码交叉引用 代码交叉引用的前缀为:CODE XREF如下图显示,箭头方向表示引用位置的相对方向。 每一个交叉引用的最后一位后缀表示引用的类型: o 普通流 ,表示一条指令到另一条指令的顺序流 p 调用流,表示控制权被转交给目标函数,如BL等命令 j 跳转流,表示分支操作,常见于if等操作 2. 数据交叉引用 数据交叉应用的前缀为:DATA XREF如下图所示,数据交叉引用 每一个交叉引用的最后一位后缀表示引用的类型 r 读取
windows木马病毒
最新发布
09-27
木马病毒是一种计算机恶意软件,它通常被伪装成有用的程序或文件,以便欺骗用户进行安装或打开。与传统计算机病毒不同,木马病毒不会自我复制,也不会直接破坏计算机系统。它的目的是在用户不知情的情况下,远程控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值