鬼影病毒6.0分析

最新推荐文章于 2022-09-25 15:54:57 发布
最新推荐文章于 2022-09-25 15:54:57 发布
阅读量3.5k 收藏 9
点赞数 4
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/94140560
版权
本文详细分析了鬼影病毒6.0的运作机制,包括创建用户、释放驱动、虚拟机检测、持久化攻击及模块功能。病毒通过创建mima1用户执行ipconfig,释放p2phook.sys驱动并注册服务,调用safemon.dll进行提权和注入。此外,还利用beep.sys实现开机自启动,并监控p2phook.sys以确保其存在。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理图

1

文件名 功能
1001.exe 主模块
camhgzsswk.sys 释放模块
p2phook.sys 释放模块的克隆
p2pc.ini 攻击模块配置文件
safemon.dll 注入攻击模块
beep.sys 持久化攻击模块

主模块1001.exe

[1]创建用户mima1,运行ipconfig进行掩饰。
[2]释放病毒驱动sys文件。
[3]将病毒驱动注册成服务并启动。
[4]调用safemon.dll的p2pr函数。
[5]删除用户mima1。
[6]删除病毒驱动sys文件。
[7]运行iexplorer访问网页http://xytets.com:2345/t.asp?1002vm。
[8]退出程序。

使用Exeinfo查壳,发现该样本加了VMP2.0的壳,这个壳比较难脱,直接带壳调试。脱壳步骤见:https://blog.csdn.net/m0_37552052/article/details/94129436

最低0.47元/天 解锁文章
鬼影病毒分析报告
weixin_34233679的博客
03-18 255
鬼影病毒分析报告一、 鬼影病毒概述这是一个***下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。 二、鬼影病毒分析1 病毒的启动方法感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统...
Windows 11【1001问】打开Windows 11任务管理器的11种方法
最新发布
WenZhongxiang
03-07 1010
在Windows 11中,任务管理器是一个非常重要的工具,它允许用户监控系统性能、查看和结束进程、管理启动项等。然而,对于一些新用户来说,找到如何快速打开任务管理器的方法可能并不直观。为了帮助大家更好地使用这一功能,本文将详细介绍打开Windows 11任务管理器的11种方法。无论您是希望通过快捷键迅速调出任务管理器,还是更倾向于通过图形界面操作来访问它,这里都有适合您的解决方案。接下来,让我们一起探索11种打开任务管理器的实用技巧吧。
鬼影病毒原理分析
11-28
以前关注过一段MBR编程,此文档是关于引导区型病毒的原理分析资料,针对初学系统安全有一个借鉴的内容。
什么是鬼影病毒,听说重装系统都没用?
更多惊喜欢迎访问www.itlife365.com和www.jiandanjie.com
04-14 1529
3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影病毒也因此成为国内首个“引导区”下载者病毒鬼影病毒特征——重装系统也杀不掉  以前,常...
用友与鬼影病毒
似水无痕
06-16 875
昨天一客户打电话,说软件无法登陆。上门查看现象如下:用友服务无法启动,双击启动,报错:本地计算机上的用友通服务启动后又停止了。一些服务自动停止,如果它们没有什么可做的,例如性能和日志警报服务。(真TMD经典的报错!)顺手看了一下uf2000.log,其中写着:得到连接串时不能创建ADO连接对象,可能是ADO安装不正确客户电脑环境:OS:WinXP SP2数据库:SQL 2000SP4 个人版软件:
鬼影”浅析 - 反病毒,信息安全,网络安全,反木马,病毒资讯平台,安全解决方案,电脑使用技巧,杀毒软件交流,anti-virus,民间反病毒联盟
wrmsr的专栏
04-30 1612
这个鬼影病毒相信大家都比较熟悉,但是最近似乎那个什么XX工作室已经宣布停止开发了,所以逐渐淡出的人们的视线,但是这个病毒的技术含量比较高,值得去学习…… //////////////////////////////////////////////////////////////////////////////// 鬼影主体:WMPLAYER.EXE MD5:f377e0f7c8f1a37
鬼影病毒
guangyinglanshan的博客
10-05 2799
鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。 2010年3月15日,国内某安全中心发现一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。 据金山安全实验室工程师说,
可牛鬼影病毒专杀工具
02-26
【可牛鬼影病毒专杀工具】是一款针对“鬼影病毒的专业清除软件,它能够有效地检测和清除电脑系统中的“鬼影病毒及其变种。这类病毒以其独特的感染方式和难以根除的特点,给用户带来了极大的困扰。下面将详细介绍...
信息安全课程论文《计算机病毒-鬼影病毒
07-14
作者通过深入分析,阐述了计算机病毒的基本概念,重点介绍了MBR(主引导记录)病毒,特别是鬼影病毒的定义、特征、危害及其发展过程。此外,论文还详细解析了鬼影病毒的攻击原理,包括中毒后的现象和病毒的行为模式...
鬼影病毒」深度分析与防治策略
因此,对于能够完全分析并处理“鬼影病毒”的安全专家来说,这是一个极具挑战性的任务。 论文还指出,与传统病毒不同,"鬼影"寄生于硬盘的MBR,即使用户尝试通过重装系统来解决问题,病毒仍能在每次系统启动时重新...
鬼影下载者代码
12-18
鬼影下载者源码MBR寄存方法及更新MBR的方法。
鬼影下载者源代码MBR
01-18
采用感染VBR的技术进行自启动,在文件系统中并不产生任何文件,因此也不需要进行隐藏进程、隐藏驱动等工作,在实战工作中更好的保护自已不被发现。我们采用HTTP的方式将用户的木马主体文件下载下来并运行(下载至内存并运行),这样用户只需要专注于木马的功能性,而不用考虑木马的隐藏性、持久性。
鬼影下载者代码 汇编
04-01
鬼影下载者代码 汇编 可以绕过操作系统的病毒的代码研究
如何清除鬼影病毒 病毒利用硬盘MBR的代码漏洞
11-26
这段时间来,“鬼影病毒颇为盛行。这个病毒利用硬盘MBR的代码漏洞,将病毒体的一部分放到硬盘的MBR扇区,致使病毒在系统启动前就加载,常规方法没办法清除。
鬼影病毒学习总结
bcbobo21cn的专栏
07-23 3699
鬼影病毒 鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。 2010年3月15日,国内某安全中心发现一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。 1 来源介
鬼影病毒
杨航的专栏
08-13 6530
今天和明天是最后两天宿舍有空调的日子啦,暑假宿舍没空调啊,悲催T__T      好吧,今天是最精华的部分啦对于鬼影3的分析,剩下的都是浮云啦,alg.exe不准备分析了,能用OD调试的货.分析起来只是时间问题.但是MBR和之后的保护模式的代码就不一样啦同学们,纯静态分析,伤不起啊,各种硬编码,自修改!T__T     今天给出3份东西,包括1,详细注解;2,一个对磁盘病毒加密内容进行解密的程
病毒的样本大家请看啊
机器猫的专栏
09-13 1003
   
鬼影病毒解决方法
m0_70918407的博客
09-25 524
.第一种解决方案 我们可以采用杀毒软件来杀,这些杀软可以清理 二.第二种方案 准备一个peu盘 进入peu盘 打开diskgins 进行重新分区 最后重装系统
鬼影病毒处理方法
duozexiu的专栏
03-19 844
重装系统格式化C盘,进入dos状态,运行fdisk/mbr命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步:   1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的。   2、右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。   3、直接用GHOST系统盘安装系统就OK了。[3]DOS下手动查杀方法   第一步:找专杀工具:这里推荐使用“一键
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值