fanny equation 1

已于 2022-12-26 17:41:23 修改
阅读量266 收藏
点赞数
分类专栏: 调试 恶意样本分析 文章标签: 安全
于 2020-08-18 17:25:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/108080826
版权

(在搜索'fanny'之前,我一直把它当作'funny',看到baid结果后又学到新知识。)

相关背景:A Fanny Equation: "I am your father, Stuxnet" | Securelist 

环境:vista sp2 32

工具:windbg,vc6.0

fanny.dll包含有漏洞的利用过程,下面简单记录如何让它跑起来并在相应的系统环境下触发漏洞修改NtShutdownSystem的代码作为下一步的跳板。首先需要对fanny.dll做一点处理,因为在DllMain中有检测环境的逻辑得给他去掉,让DllMain直接返回true而不执行相关逻辑;再通过硬编码调用vista 系统对应的利用函数(利用过程及漏洞原因感兴趣的可以看看,我不是太了解这个)。

DllMain中修改2处:

1处

修改后,fdwReason=1,eax=1,eax-5=-4,后面的条件都不匹配,逻辑也不会执行

2处

修改后,eax的值还是fdwReason=1,true;这样DllMain就正常返回,后面就可以通过模块的基址加上函数偏移来调用目标函数。

修改完成之后,通过LoadLibrary加载fanny.dll,再模块基址加偏移调用vista 版本的利用函数。

在利用函数中还有一处是检查名为‘prkMtx'的mutex是否存在,如果不存在就停止执行,这里在调试的时候要将检查结果改为true,或者在自己的加载程序中创建'prkMtx'。

成功执行后,NtShutdownSystem的代码就被修改成立跳板,不过跳到的地方代码执行就相当于在r0环境下,因为是直接从r0 jmp .

jmp 0008:00400200, 8代表什么意思搞忘记了,之前好像看到过;0x400200 是要跳转过去的地方,在r3。

20221226

0008:00400200中的0008表示段选择子,用来决定当前段的环境,0008表示的是r0环境。关于段选择子详细可以参考:https://blog.csdn.net/weixin_45678798/article/details/125222624 。这种攻击方式,直接将r0的代码放在r3,然后触发执行。不过从win8开始,系统引入SMEP 安全机制来阻止类似的攻击。

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
r语言实现模糊c均值算法,数量生态学笔记||模糊聚类
weixin_33501343的博客
05-24 701
使用cluster程序包内Fanny()函数进行c-均值模糊聚类。在传统的聚类结果中,每个对象只能分配给唯一的一个组,然而,c-均值聚类结果不同,一个对象可以赋予不同的组,对象与组之间的归属度可以通过成员值(membership value.)衡量。rm(list = ls())setwd("D:\\Users\\Administrator\\Desktop\\RStudio\\数量生态学\\D...
sql convert 函数
丨Fanny丨Cri
02-05 810
CONVERT(data_type,expression[,style]) convert(varchar(10),字段名,转换格式) 说明: 此样式一般在时间类型(datetime,smalldatetime)与字符串类型(nchar,nvarchar,char,varchar) 相互转换的时候才用到. 例子: SELECT CONVERT(varchar(30),getdate()
聚类分析
If you can dream it,you can do it.
04-21 4321
1
fanny equation 2---ms09-025漏洞利用实现
pureman_mega的博客
08-20 342
(代码逻辑是从fanny.dll中扣出来的,可以在内核执行代码,没有实现完整的利用链,下面的代码只实现到在r0输出信息,没有修改NtShutdownSystem及后续流程)。 代码环境:vc 6.0, 32位 系统环境:vista sp2 用法:直接运行编译好的exe 结果图: #include<stdio.h> #include<windows.h> #define WindowName L"h" #define ClassName L"STATIC" #de..
[翻译]A Fanny Equation: “I am your father, Stuxnet“ | Securelist
最新发布
好好学习,天天向上
08-18 133
翻译 卡巴斯基关于方程式组织 Fanny工具的文章
修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件
betteroneisme的专栏
05-09 2618
安天实验室 报告下载 首次发布时间:2015年03月05日 10时00分  本版本更新时间:2015年03月05日 09时45分 目 录 1       背景 2       Equation组织使用的组件 3       组件DoubleFantasy分析 3.1        检测安全软件 3.2        回传信息 3.3     
[译] APT分析报告:01.Linux系统下针对性的APT攻击概述
热门推荐
杨秀璋的专栏
09-14 1万+
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。第一篇文章主要分享Linux系统下针对性的APT攻击及技术要点,并简单总结溯源部分APT组织的方法。
揭秘NSA秘密黑客组织方程式
weixin_34393428的博客
08-09 937
NSA 被黑了!? 不不。 发布消息的黑客组织 The Shadow Broker (暗影经纪人),只是声称他们入侵了“Equation Group”(方程式组织),并将他们从该黑客组织的计算机系统中所获取到的大部分黑客工具全部泄漏在了互联网上,并告诉大家还有一些需要付费的“优质文件”。 众所周知,黑客组织方程式与NSA有着说不清道...
FANNY
10-24
标题"FANNY"很可能指的是一个特定的字体设计或者字体库。在计算机图形设计和排版领域,字体是决定文本外观的关键元素。FANNY作为一款字体,可能具有独特的风格、笔画特征或艺术表现力,适合用于特定的设计场景,如...
FannyWidget.zip fanny: 2.1.0 用于监视Mac风扇
03-26
Fanny是一个免费的Notification Center Widget和Menu Bar应用程序,用于监视Mac风扇。 •紧凑的设计,使您可以关注系统风扇和CPU / GPU的温度,同时又不会占用工作空间。 •获取信息;当前速度,目标速度,最小...
Fanny.pdf
11-04
文件中提到的个人是Fanny Jiang,出生于1982年8月,拥有学士学位,目前位于深圳,联系电话为***。她的电子邮件地址是***。 教育背景: 虽然在文件中没有提供详细的教育经历,但是可以看出Fanny Jiang毕业于中国的...
【最新版】FannyWidget.zip【亲测可用】最好的关注系统风扇和CPU / GPU的温度
04-23
Fanny是一个免费的Notification Center Widget和Menu Bar应用程序,用于监视Mac粉丝。 •紧凑的设计,使您可以关注系统风扇和CPU / GPU的温度,同时又不会占用工作空间。 •获取信息;当前速度,目标速度,最小速度...
【最新版】FannyWidget.zip【亲测可用】最好的系统风扇和CPU / GPU温度
08-03
Fanny是一个免费的Notification Center Widget和Menu Bar应用程序,用于监视Mac粉丝。 •紧凑的设计,使您可以关注系统风扇和CPU / GPU温度,同时又不会占用工作空间。 •获取信息;当前速度,目标速度,最小速度,...
基于ndis protocol driver 后门 分析
pureman_mega的博客
09-16 4426
样本文件MD5: 42f43edc9937e4aa5f985773f5ea9daa 这个样本有点老了,之前分析了一下他的命令执行部分,数据流程一直没有弄明白,现在记录一下。这个样本一上来会通过注册一个临时的 protocol driver (ndis 5.0, 差别多在xp 时代) ;注册成功后会返回一个ndis_handle 指针,然后通过这个指针加上硬编码的偏移找到 tcp/ip protocol driver 的 ndis_handle ,再挂钩(hook) 该结构中的receive 等回调函数;.
简单的键盘按键记录(无码)/虚拟地址转物理地址/生成随机字符串/计算字符串哈希
pureman_mega的博客
06-24 3284
最近看到 一个 样本 ,里面有键盘 按键记录的功能 ,而且 实现也比较 简单,运行 记录 的效果还 不错 。主要思路如下 : //假代码 int i=0; for(i=0;i<0x100;i++) { GetKeyState(i); //参考:https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getkeystate //如果有按键 记录,就去获取一些相关信..
病毒常用方法之注册表操作
pureman_mega的博客
04-03 1185
注册表的增删查改操作基本上是恶意代码的常规操作,但是对注册表的操作通常会留下痕迹,导致被发现,最后被清理掉 .对于驱动模块更是如此,驱动程序的入口函数的第二个参数就是注册表路径,当驱动加载后该值会被写到相应的位置,这是为了隐藏自己,要将与之相关的表项都删掉.下面是一段反汇编代码: int __stdcall DeleteKey(POBJECT_ATTRIBUTES ObjectAttributes)
Equation Group的组件DoubleFantasy模块分析(上)数据收集
pureman_mega的博客
04-07 952
在分析的过程中可以发现,这个组件和前面分析的一个组件在大的框架下表现是一样的:它们都有一个贯穿整个过程的解密函数,同时使用资源来装载‘材料’–数据和程序。 寻找资源的代码FindResourceA(hModule,lpName,lpType); //其中lpName的取值可以为:1,2,4;lpName去1或2时,找到相应的数据;取4时释放一个dll文件。 //lpName="BINRES",-
r语言的fannyx函数怎么用
05-17
`fanny()` 函数是 cluster 包中的一种聚类方法,用于执行扁平化聚类(Flat Clustering)和密度聚类(Density Clustering)。具体使用方法如下: 1. 首先需要加载 cluster 包。 ``` library(cluster) ``` 2. 然后准备好你要聚类的数据,假设你有一个数据框,其中有两个变量(x 和 y),你想将它们聚为 3 类,可以使用如下代码: ``` data <- data.frame(x = c(1,2,3,4,5,6,7,8,9,10), y = c(5,6,7,8,9,10,11,12,13,14)) fanny_result <- fanny(data, 3) ``` 其中 `data` 是你要聚类的数据,3 表示你想将数据分为 3 类。聚类结果存储在 `fanny_result` 变量中。 3. 如果你想查看聚类结果,可以使用 `plot()` 函数绘制聚类结果的散点图。 ``` plot(fanny_result, data = data) ``` 这将绘制出一个散点图,其中数据点被着色为不同的颜色,表示不同的聚类簇。 以上就是使用 `fanny()` 函数进行聚类的基本方法,你可以根据具体需要调整参数以获得最佳的聚类效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值