木马病毒分析

最新推荐文章于 2024-07-10 17:18:35 发布
最新推荐文章于 2024-07-10 17:18:35 发布
阅读量204 收藏
点赞数
分类专栏: 漏洞 文章标签: 网络安全 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/132475829
版权

一、病毒简介

这款木马从恶意网址下载东西,然后修改本地文件;

SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07

MD5:56b2c3810dba2e939a8bb9fa36d3cf96

SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc

二、行为分析

首先看看微步云沙箱分析:

 

 

 

恶意服务器网址:[ddos.dnsnb8.net]

接下来看看火绒剑监控结果:

 

这边有大量的对本地文件修改;

 

最后是一个自删除。

三、静态分析

首先查壳:

 

通过x32dbg脱壳:

 

看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:

 

走到ret,进入OEP脱壳:

 

 

注意一下OEP这里:

 

接下来拖到IDA中,根据之前OEP那里,找到关键位置:

 

 

进入函数1371638:

 

这里是获取临时文件夹路径,系统目录以及当前进程路径等,随后进入137139F,箭头所指:

 

 

返回之后,继续向下走:

 

进入第一个箭头所指:

 

这里是下载文件并启动,进入第二个箭头:

 

函数sub_1371973:

 

那么这个函数就是拷贝自身到临时路径下,并读取自身内容,返回进入线程回调函数:

 

 

这里获取驱动器盘符类型,如果大于1不等于五,进入开辟线程:

 

进入回调函数,进入sub_13728B8:

 

这里是筛选exe和rar后缀文件,进入sub_137239D函数:

这里是对文件进行写入操作;这里就是遍历目录,筛选exe和rar后缀,对这类文件进行写入;

第三个箭头就是删除文件类操作。当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。

极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
本科毕业设计论文--木马病毒分析计算机科学技术.doc
07-08
木马病毒分析计算机科学技术 本科毕业设计论文的主要内容是关于木马病毒分析的计算机科学技术。随着计算机网络技术的高速发展,Internet 已经伸向了世界的每一个角落,对人们的生活方式和工作方式产生着前所未有的...
木马分析(隐藏分析
要啥啥不行,偷懒第一名
11-03 1120
实验目的&要求: 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 实现实验所提到的命令和工具,得到实验结果 预备知识 木马隐藏的技术 程序隐藏: 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。 程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件...
Wireshark Wget bot木马分析
煮酒闲谈
09-27 1439
爬虫和蜘蛛 黑盒测试,它涉及到外部攻击者用于获取足够信息的所有步骤,以便入侵应用或服务器的特定功能。 作为每个 Web 渗透测试中侦查阶段的一部分,我们需要浏览器每个包含在网页中的链接,并跟踪它展示的每个文件。 有一些工具能够帮助我们自动和以及加速完成这个任务,它们叫做 Web 爬虫或蜘蛛。 这些工具通过跟随所有到外部文件的链接和引用,有的时候会填充表单并将它们发送到服务器,保存所有请求和响应来浏览
木马的分析方法学习整理
相信未来!
05-26 1353
0x00 木马分析之旅 (待续) [1] RegSnap—注册表分析工具 [2] 怎样把任意exe程序注册成windows系统服务(手动注册服务) [3] Process Monitor监控目录 - 监控文件被哪个进程操作了 [4] Process Monitor—监控Windows系统的注册表、进程、文件系统、网络等信息 [5] 使用wireshark常用的过滤命令 [6]...
一个木马的分析(一)
白菜有罪的专栏
03-02 883
文件MD5:130862496f0fd7a4d6dcb519a06f9f80 分析完毕之后大概的结论有: 1)将自身拷贝到其他文件夹中,然后删除自身 2)结束指定进程,启动宿主进程 3)向系统进程注入代码 4)写启动项注册表 5)下载文件 6)查询DNS信息
实验一木马分析(隐藏分析)实验
qq_30600405的博客
10-27 5410
实验一木马分析(隐藏分析)实验
基于NDIS隐蔽通信技术的木马病毒分析.pdf
09-04
基于 NDIS 隐蔽通信技术的木马病毒分析 该论文主要集中在基于 NDIS 隐蔽通信技术的木马病毒分析,旨在提供反病毒研究技术参考和依据。论文首先分析了 NDIS 体系结构,然后提出了基于 NDIS 驱动的木马隐蔽通信方法,...
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析
木马病毒分析-计算机科学技术本科毕业设计.doc
07-01
木马病毒分析-计算机科学技术本科毕业设计.doc
基于NDIS隐蔽通信技术的木马病毒分析 (2008年)
06-14
针对当前木马病毒向核心态发展的趋势,为给反病毒研究提供技术参考和依据,该文对NDIS体系结构进行了分析,提出一种基于NDIS驱动的木马隐蔽通信方法,以该方法为依据设计和实现了木马验证模型并对其进行分析和测试。...
木马核心技术剖析读书笔记之木马实例解析
不急不躁
03-14 2665
模块化的木马系统架构 被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分 Dropper Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,...
实例讲解木马的分析方法
无本之木
07-27 1350
本文摘自(www.41hack.com/Document/14963/)    以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小 组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以 往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来
木马病毒分析笔记
m0_45503137的博客
05-06 1985
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
在线沙盒(恶意软件行为分析工具)整理介绍
热门推荐
未晚的专栏
04-04 2万+
在进行未知文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析。当然,我们可以用真机或者虚拟机,结合一些行为记录软件来进行测试,但在线沙盒有时会更加方便实用。下面就介绍几个我找到的在线沙盒。 1 火眼(https://fireeye.ijinshan.com)         火眼是国内的一个在线文件分析站点,由金山公司开发。在这里,你可以提交自己的文件进行分析,目前支
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1113
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
最新发布
TSINGSEE青犀视频官方技术博客
07-10 1146
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约
rolt的专栏
07-10 808
系统的外部可观察行为和物理特征
大学毕业论文---计算机木马病毒研究与防范.doc
07-08
论文进一步分析木马病毒的发展现状,包括特洛伊木马的演变和不同类型的木马。 在技术层面上,论文详细阐述了木马病毒的工作原理,如加载技术和隐藏技术。其中,系统启动自动加载使得病毒在用户开机时就能运行,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值