对于加密数据的处理,需要确定的是是否有采用已知的算法,定 位一些关键函数是非常快速的方法,以 Windows 程序为例:需要确 定是否导入了 Crypt*系列的函数。如果有,查看 CryptGenKey、 CryptImportKey 函数来截获加密类型及加密密钥信息,查看 CryptEncrypt 函数来截获要加密的内容。如果没有导入这类函数,很有可能是采用了自定义的加密算法,最快的跟踪方法是定位到发送部 分的函数,向前追溯,找到加密函数。
当发现无法连接到僵尸网络的主控服务器上(即 C&C 服务 器),为了让程序正常执行,并且捕获数据包,你需要对 C&C 服务器 进行模拟
在分析恶意软件时,如果该恶意软件使用了域名作为连接的 途径,我们可以在调试的过程中发现 gethostbyname 函数,我们可以 修改其返回值为我们自己虚拟机的 IP 地址。在虚拟机 上,我们可以运行 TCP 监听软件或者是 netcat,监听恶意程序需要连接的端口,直到其连接即可获取上线数 据包中的内容。
根据 IDA 中解析命令数据包的代码来对整个命令包的数据格式进 行分析,是了解功能的最佳途径,采用这种方法能够获取完 整的指令表。
网络协议层
应用协议层
C2 架构比较常用的:http/https、FTP、DNS、SMTP等等。
使用应用层协议进行C2通信最重要的是隐蔽性、其次才是传输效率和适用场景。
传输文件:
如果进行文件下发和数据上传,最常见的选择是http、ftp。为了增加隐蔽性,某些样本加上DGA.
指令下发:
指令下发,不需要太多的流量载荷。一些样本追求隐蔽性,使用DNS隧道技术。
网际通信:在一些隔离环境中,邮件服务器常常被列为白名单。可以使用SMTP协议,进行内外网的通讯。
局域网内通信:局域网内一般会有IDS进行检测,动作太大会被发现,除了常规使用的通信方法外,LPR、RAW网络打印协议也是比较好的选择。
以office 钓鱼为例,攻击者通过恶意宏或者漏洞利用,使用cscript、wscript或者powershell 从远端 HTTP 服务器拉取后门,进行安装执行。
HTTP是明文传输,恶意软件进行数据上传时,往往会对内容进行处理时,简单的如base64,xor;强度大一点的会使用非对称加密算法进行处理。
但是HTTP通信需要IP或者域名,如果资产被拉入黑名单,很容易被IDS检测出来。所以,某些APT 恶意软件使用了DGA生成算法。动态变化的域名。
应用服务层
社交平台,网盘,消息推送服务:
这些应用的域名和IP都被标注了白名单,并且多数都有 API 可以使用。针对特定平台,
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
321
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
