一款简单的反向shell恶意样本分析

最新推荐文章于 2022-01-15 20:49:49 发布
VIP文章 最新推荐文章于 2022-01-15 20:49:49 发布
阅读量297 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106125778
版权

一款简单的反向shell恶意样本分析

样本来自《恶意软件分析实战》第九章的的实验二。

静态分析

基本信息

查看样本信息,发现程序没有加壳,使用VC++基编写

在这里插入图片描述
编译时间2011/041/30

在这里插入图片描述

接着查看字符串,没有发现有用的信息,如下

在这里插入图片描述

静态分析

使用ida分析来到入口函数,发现初始化了一堆参数

最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShellExecute和CreateProcess打开指定程序
03-08
写入了两种打开程序的方法,代码里修改要打开的程序路径即可测试
HRAT:反向Shell和Keylogger恶意软件
04-22
赫拉特 反向Shell和Keylogger恶意软件。 我做了这个简单的项目,作为研究恶意软件分析时所学知识的实际应用。 对于任何开始研究恶意软件分析的人来说,看到一个真正的简单恶意软件都是很有用的,这样他就可以想象自己正在研究什么。
恶意代码--微软jscript程序样本逆向分析
关注互联网安全的小虾米一枚
02-13 2307
信息安全,恶意代码分析,钓鱼邮箱附件。
恶意代码--windows脚本wscript恶意样本逆向分析
关注互联网安全的小虾米一枚
08-17 2814
0x01 基本分析 File: C:\Users\luke\Desktop\finance\inv_36f5e7.js Size: 5942 bytes Modified: 2016年8月17日, 18:54:00 MD5: C533B463D5598971BB32C1F743DDCC00 SHA1: C428931655EDE93A162B347525F5095FA78A454C C
恶意样本分析流程记录
weixin_42877778的博客
01-15 2933
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
Linux样本——IDA调试分析ELF文件
ATree的博客
04-25 3008
主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。 Linux平台调试工具 1、动静分析结合的跨平台工具-IDA 2、无图形界面的调试神器-GDB 3、Linux平台开源调试工具-radare2 使用IDA远程调试 1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位 2、拷贝I...
[安全攻防进阶篇] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向
热门推荐
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
一个简单反向shell
weixin_33941350的博客
03-18 335
这个是在《Python***学习笔记:从HelloWorld到编写PoC(上)》 中看到的一个反向shell代码,因为本身我是学python3的,所以我把代码改成的python3。同时也做了编码方面一些小改动,使这个代码在linux和windows下都可以运行。udp_server.py#!/usr/bin/python3 __author__='Administrato...
shell脚本自动拉黑恶意试图攻击IP
qq_20763435的博客
06-14 1233
(本文章只是用于个人用时查看,有问题请勿喷!觉得行可供参考。)     首先我来说下配置这个shell脚本的原理,为什么要配置这个脚本.   在Linux中,虽然系统自带有iptables防火墙,但是这只能说服务器相对安全,但不能说服务器非常安全。当服务器配置了防火墙,但是还是有人恶意对我们的端口进行扫描,进行攻击。 如果我们允许22端口对外网所有人访问,如果我们没有做VPN,比如我...
一个恶意样本分析
信息安全
08-09 4119
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
evildll:DLL劫持的恶意DLL(反向Shell)生成器
02-21
EvilDLL v1.0作者:github.com/thelinuxchoiceTwitter:twitter.com/linux_choice在使用此代码的任何部分之前,请先阅读许可证:) DLL劫持的恶意DLL(Win Reverse Shell)生成器特征:使用Ngrok.io反向TCP端口转发...
一款开源Shell 工具介绍.docx
最新发布
11-06
一款开源Shell 工具介绍.docx
一个自动生成OpenSSL反向shell简单脚本-Linux开发
05-27
一个简单的Bash脚本,使OpenSSL反向shell的生成变得无痛苦目录简介用法屏幕快照许可证简介Revssl的创建主要是为了使OpenSSL re自动化。创建它主要是为了从此处自动化OpenSSL反向Shell构想,并将其打包到一个脚本中。...
HTTP-Reverse-Shell:Python中的HTTP反向Shell
05-22
这是用Python编程的HTTP Reverse Shell。 它用于建立从客户端到服务器端的反向HTTP连接。 先决条件 Python 用法 在客户端上传输客户端程序 在服务器端传输服务器程序 运行服务器端程序以开始侦听 运行客户端程序 ...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6711
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
Lab16使用x64dbg调试带参数程序
LoopherBear的博客
05-26 3485
Lab16使用x64dbg调试带参数程序 在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式 调试带参数启动的.exe程序 调试带参数启动的'.dll'程序 看下一篇文章 今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 1847
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
Pe文件静态分析
LoopherBear的博客
05-02 1507
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
恶意软件分析基础-PE文件简单分析记录
LoopherBear的博客
05-11 1006
PE文件简单分析记录 通常在分析一些样本时会遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bAddr=aAddr++0x78; 的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。 DosHeader 这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头 以MZ标志开头,表示这个一个PE文件。如果要读取Ri
反向tcp shell 编写实验的结果与分析
05-28
随后,我使用另一台计算机作为攻击者主机,使用nc命令(Netcat工具)连接到受害者主机的IP地址和端口号,成功建立反向TCP shell连接。 在攻击者主机上,我可以通过发送命令到反向TCP shell连接,来执行一系列操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值