白加黑木马拆分HTTP协议躲避网络单包侦测

最新推荐文章于 2018-07-30 21:27:36 发布
最新推荐文章于 2018-07-30 21:27:36 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenchen0708/article/details/11816967
版权


追影发现一起白加黑类型的恶意样本,该样本不仅利用白加黑突破安全软件的本地监控还对网络监控进行了多重对抗



1 利用ip138获取域名ip

http://www.ip138.com/ips138.asp?ip=wei6936630.xicp.net

通过该方法躲避DNS监测,域名拦截

除了ip138还有一些查询IP的网站都可以利用其它的域名获取IP的网站服务,从DNS协议获取域名IP变为HTTP服务突破拦截


2 在发送HTTP协议的时候对协议进行了拆分发送GET协议发送了三次





利用这种方法躲避对HTTP协议的GET协议的检测。


3 白加黑利用的是暴风


4 其中也利用了图片文件隐藏代码,在下面的这个图片中隐藏了一个EXE代码



图片中隐藏的EXE代码



chenchen0708
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Http网络协议包
m0_61547956的博客
10-04 618
一。Http网络协议包 一、网络协议包: 网络协议包一组有规律的二进制数,这组数中有特定的空间存放特定信息,接收方在接受网络协议包后就可以到固定空间得到特定信息,网络协议包极大的降低了接收方对接受二进制数据编译难度。 【0000(IP地址)0000(端口号)0000(资源文件名)0000】 Http://192.168.100.2(ip地址):8080/(端口号)index.html(资源文件名) 二、常见网络协议: 1.FTP网络协议包 2.Http网络协议包 三、HTtp网
网络抓包和HTTP协议
m0_61811389的博客
11-06 119
目录 一、HTTP协议 1.简介 2.特点 二、网络抓包-Wireshark 1.Wireshark简介 2.抓包 3.捕获过滤器 三、TCP三次握手 1.TCP特点 2.TCP包中的字段 3.分析 一、HTTP协议 1.简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数...
白加木马开发思路
liujiayu2的专栏
12-13 5323
原文链接:https://bbs.pediy.com/thread-178628.htm 一、什么是白加   白就是此文件在杀软的白名单中,不会被杀软查杀;就是我们的恶意代码,由自己编写。通常白共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),为dll或者其他,当然可以分成多部分。 二、白加木马的结构   1.Exe
白加远控木马分析
dsb2468的专栏
07-30 3717
概述: 病毒伪装成一个DLL文件,QQ游戏启动的同时,病毒DLL也会被加载启动(也叫DLL劫持)。病毒加载之后,会在内存中释放出远控模块,通过建立本地端口映射的方式,意图绕过某些安软的网络拦截,从而控制目标计算机。 病毒目录文件如下: 病毒运行加载流程如下:   详细分析: 1、启动方式: 首先,病毒作者将关键文件全部隐藏打包了起来,只留了了一个快捷方式,通过调用CMD的方式...
白+(白利用)漏洞加载木马技术解析
笔记本
12-08 5220
刚上高中那个暑假?记不太清了,好像就是那个时候开始的白加木马爆发,因为利用率几乎不可能解决的 逻辑缺陷,所以杀软的防御基本永远没法从根本上去拦截。百度也没什么这个漏洞的基础解析,下面通过编 程实现一个模拟这个漏洞的东西实现白加技术初步解析。 1.白利用漏洞基本原理: 利用了大公司代码的编写缺陷,比如某宝的某个exe程序,自带数字签名,他运行的时候会动态加载其目录下的dll文件 (l...
白加”远控木马技术分析及手杀方案
liujiayu2的专栏
12-13 9441
白加”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段。本文将针对此类病毒做了一个简单技术介绍和案例演示。 所谓的“白加”,笼统来说是“白exe”加“dll”,“白exe”是指带有数字签名的正常exe文件,那么“dll”当然是指包含恶意代码的dll文件。病毒借助那些带数字签名且在杀毒软件白名
病毒木马查杀实战第026篇:“白加”恶意程序研究(上)
weixin_30539625的博客
08-10 397
前言 众所周知,传统的恶意程序都是由单一文件构成的。从而实现某一种或者几种恶意功能。而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也是脑洞大开。为了对抗杀软的查杀也是无所不用其极。我们每天所处理的恶意文件中面。反查杀手段运用得最好的就是脚本木马,关于这类程序。我在之前的《病毒木马查杀实战第025篇:JS下载者脚本木马...
白加关键技术研究
10-08
白加Flash
05-30
白加Flash
厦门G324白加罩面改造技术方案
10-08
白加免杀教程,很优秀的教程
03-06
白加免杀教程,很优秀的教程
东北人之广告版白加.pptx
10-12
【东北人之广告版白加】这个标题和描述似乎是指一种创新的广告策略或案例,结合了东北人的特色和“白加”的概念,但实际内容与技术无关,主要阐述的是哲学思想——具体问题具体分析。这个概念是马克思主义哲学中...
wireshark TCP状态转换+HTTP抓包分析+提取木马SNORT规则
ajcaizixi的专栏
06-20 4878
这里把TCP三次握手四次挥手+HTTP抓包分析放在一起分析。 说是HTTP,其实并不打算真的就协议层面去分析HTTP。因为那又是一个可以另外水一篇博客的例子了。 Tcp状态图+HTTP抓包分析 在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG. 其中, SYN表示建立连接,  FIN表示关
反虚拟机沙箱恶意代码分析
追影-追踪高级威胁,捕获0day漏洞
08-19 3426
随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技术。RSA展会也有很多安全厂商使用这些技术进行反APT分析,传统的反病毒厂商和僵尸网络追踪团队也都利用虚拟机进行大量的分析获取样本运行的海量信息进行分析处理。厂商们所使用的虚拟机软件通常包括VMware、VirtualBox等,这些虚拟机可以在一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机完全就像
市场营销策划经典案例分析:王老吉与白加的成功秘诀
本文将通过分析两个经典案例,王老吉和白加,来讨论市场营销策划的原理和成功因素。 首先,我们来看王老吉凉茶的案例。从2002年的1.8亿元到2005年的25亿,王老吉以快速的增长速度成为一全国性品牌。其成功的原因...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值