实验一木马分析(隐藏分析)实验

最新推荐文章于 2024-05-29 09:33:01 发布
最新推荐文章于 2024-05-29 09:33:01 发布
阅读量5.4k 收藏 13
点赞数 1
分类专栏: 作业 文章标签: 木马 隐藏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30600405/article/details/78360599
版权

实验一木马分析(隐藏分析)实验

1、木马隐藏技术

1)程序隐藏

木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑。当双击运行捆绑后的程序时,正常的exe 文件运行了。程序隐藏只能达到从表面上无法识别木马程序的目的,但是可以通过任务管理器中发现木马程序的踪迹,这就需要木马程序实现进程隐藏。

2)进程隐藏

隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程,从而提高木马程序的隐蔽性。主要有两种:

API拦截属于进程伪隐藏方式通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用,然后修改函数返回的进程信息,将自己从结果中删除,导致任务管理器等工具无法显示该木马进程。

远程线程注入属于进程真隐藏方式 主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程,共享目标进程的地址空间,并获得目标进程的相关权限,从而修改目标进程内部数据和启动DLL 木马。

3)通信隐藏

可以从通信连接的状况中发现木马程序的踪迹。因此,很有必要实现木马程序的通信隐藏。主要有两种方式:

端口复用技术 它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接,从而防止重新开启端口降低隐蔽性。关键之处在于,木马程序应增设一个数据包转交判断模块,该模块控制主机对数据报的转交选择。

利用ICMP和HTTP 协议 通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部,对数据部分不做处理。因此,可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进

最低0.47元/天 解锁文章
李_栋
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
木马隐藏及其启动方式 (转)
weixin_34246551的博客
08-17 981
木马隐藏及其启动方式 1.隐藏方式 (1)隐藏在任务栏中     在任务栏中隐藏文件图标是木马隐藏自身的基本方式,在编程时很容易实现。以VB为例,只要把form(窗体)的Visible属性设置为False并把ShowInTaskBar设置为False,程序就不会出现在任务栏中,如图3-9所示。   图3-9 在VB中设置属性 (2)隐藏在任务管理器中     如把木马设置为“系统...
木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南
最新发布
05-30
读者可以通过理论学习了解木马隐藏的核心技术,再通过实验文档的步骤指导,在VMware环境中模拟和分析木马行为,从而获得实际操作经验。两篇文档结合,不仅加深了对木马隐藏机制的理解,还提高了实际操作和分析能力。...
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1267
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
实例讲解木马分析方法
无本之木
07-27 1352
本文摘自(www.41hack.com/Document/14963/)    以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小 组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以 往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来
Metasploit 内网渗透四 —Metasploit 渗透测试之利用木马、病毒实施渗透1 — 制作 windows 和 linux 客户端恶意软件进行渗透
天下著书立传者,皆为我师
05-29 990
通过制作含病毒和木马的恶意程序,利用msfvenom模块,完成靶机与msf相应的通信
Linux下木马程序隐藏进程实战
qq_42499737的博客
07-15 927
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集. Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息
4.3 木马隐藏分析
qq_55202378的博客
07-28 2959
木马隐藏
软件安全实验报告集.zip
12-01
实验一:栈溢出实验 栈溢出是常见的软件安全问题,主要由于程序在栈上分配内存时没有正确地检查边界,导致恶意代码能够覆盖栈上的重要数据,如返回地址,从而控制程序执行流程。实验可能包括了对C/C++程序的编写和...
网络安全-木马隐藏技术-实验分析-教学与研究-木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南.zip
05-30
本资源深入探讨了木马隐藏技术的核心原理和实验操作,提供了详细的技术剖析以及使用VMware进行网络模拟的指南。这份资料旨在为网络安全专业人员和研究者提供实用的知识和技能,帮助他们理解并对抗恶意软件的隐藏技术...
病毒木马查杀实战第025篇:JS下载者脚本木马分析与防御
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
远程控制---实验九:IPC远程植入木马
weixin_70557959的博客
05-06 3697
目录 一、实验目的及要求 二、实验原理 IPC 空会话 IPC建立的过程 木马 三、实验环境 四、实验步骤及内容 五、实验总结 六、分析与思考 一、实验目的及要求 1、掌握利用 IPC$入侵目标计算机(windows XP 或 windows 2003)的方法; 2、制作并植入远控木马来达到远程控制对方计算机; 二、实验原理 IPC IPC(Inter-Process Communication) 进程间通信,是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道
Linux木马检测技术分析与系统调用权限验证法.pdf
09-07
Linux木马检测技术分析与系统调用权限验证法.pdf
20155231 20155234 信息安全技术 实验木马及远程控制技术 实验报告
weixin_30239339的博客
11-29 470
20155231 20155234 信息安全技术 实验木马及远程控制技术 实验报告 姓名: 邵煜楠 学号: 20155231 日期: 2017.11.21 姓名: 昝昕明 学号: 20155234 日期: 2017.11.21 一、实验环境 操作系统:windows7 实验工具:灰鸽子远程控制、监控器、协议分析器 二、实验内容 木马生成与植入 利用木马实现远程控制 木马的删除 三、实...
病毒木马查杀实战第021篇:Ring3层主动防御之编程实现
Gleam的专栏
04-20 1万+
前言       我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件。整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程创建,程序首先会进行特征码匹配,从而判断目标程序是否为病毒程序,如果是,则进行拦截,反之不拦截。停止监控时,再卸载掉DLL程序。以下就是程序各个部分的代码实现。 封装InlineHook类     
API拦截—实现Ring3全局HOOK
迈克揉索芙特
01-02 4575
       魏滔序注:本转载内容仅用来技术研究,请勿于损人害己之用。       首先来解释一下这次的目标。由于windows的copy-on-write机制(Ring0下可以用CR0寄存器关掉它),Ring3下的HOOK只对当前进程有效,其他进程的API还是正常的。这就是说我们必须枚举进程,然后对每个Ring3进程执行一遍HOOK操作。但是,系统中总有新进程产生,对于这些新进程我们怎么处理
网络安全之木马的工作原理及其攻击步骤
热门推荐
qq_40927867的博客
03-01 2万+
1 木马的工作原理 客户端/服务端之间采用TCP/UDP的通信方式,攻击者控制的是相应的客户端程序,服务器端程序是木马程序,木马程序被植人到毫不知情的用户的计算机中。以“里应外合”的工作方式工作,服务程序通过打开特定的端口并进行监听,这些端口好像“后门”一样,所以,也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求( Connect Request),木马便与其连接起来。攻击...
木马分析-01
Bill
05-05 418
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
火眼病毒木马分析
weixin_34236869的博客
01-14 204
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/50515004 未经博主允许不得转载。 博主地址是:http://blog.csdn.net/freewebsys 1,木马分析 最近服务器中招了,破windows。 找到了一个木马分析云端软件。火眼,网站是:...
php一句话木马免杀
08-03
引用[1]中提到了一个关于PHP一句话木马实验,该木马成功骗过了阿里云的检测。木马的代码被放置在服务器的php文件夹下的miansha.php文件中。该木马使用了一些技巧来绕过检测,比如设置了执行时间限制和忽略用户中止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值