实验一木马分析(隐藏分析)实验

最新推荐文章于 2022-07-28 11:53:00 发布
最新推荐文章于 2022-07-28 11:53:00 发布
阅读量5.5k 收藏 13
点赞数 1
分类专栏: 作业 文章标签: 木马 隐藏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30600405/article/details/78360599
版权
实验一探讨了木马的隐藏技术,包括程序、进程和通信隐藏。程序隐藏通过捆绑正常程序来伪装;进程隐藏利用API拦截和远程线程注入;通信隐藏采用端口复用和ICMP、HTTP协议。实验操作涉及虚拟机的三种网络模式,并在靶机中分析了木马如何通过API拦截实现进程隐藏。
摘要由CSDN通过智能技术生成

实验一木马分析(隐藏分析)实验

1、木马隐藏技术

1)程序隐藏

木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑。当双击运行捆绑后的程序时,正常的exe 文件运行了。程序隐藏只能达到从表面上无法识别木马程序的目的,但是可以通过任务管理器中发现木马程序的踪迹,这就需要木马程序实现进程隐藏。

2)进程隐藏

隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程,从而提高木马程序的隐蔽性。主要有两种:

API拦截属于进程伪隐藏方式通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用,然后修改函数返回的进程信息,将自己从结果中删除,导致任务管理器等工具无法显示该木马进程。

远程线程注入属于进程真隐藏方式 主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程,共享目标进程的地址空间,并获得目标进程的相关权限,从而修改目标进程内部数据和启动DLL 木马。

3)通信隐藏

可以从通信连接的状况中发现木马程序的踪迹。因此,很有必要实现木马程序的通信隐藏。主要有两种方式:

端口复用技术 它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接,从而防止重新开启端口降低隐蔽性。关键之处在于,木马程序应增设一个数据包转交判断模块,该模块控制主机对数据报的转交选择。

利用ICMP和HTTP 协议 通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部,对数据部分不做处理。因此,可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进

最低0.47元/天 解锁文章
李_栋
关注
专栏目录
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
Hades的博客
07-16 3050
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...
一款木马分析
03-21 1207
 by nbw4 NE365  为了配合kanxue老大倡议的多发文,加上近来有些乏,找个别的东西分析一下耍耍。随便从网上下了个木马生成器,是个所谓的下载者,就是Downloader。  名字叫什么 木马基地八一极限下载者,木马么,都喜欢搞得比较牛的样子,其实都比较龌龊,技术和人品一样龌龊。    附件是木马生成器,建议先运行一下看看,生成器无毒。  我下面分析的是这个生成器产生的木马,配置信息就
木马分析隐藏分析实验
weixin_30794851的博客
10-29 392
一、实验目的 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 二、实验内容 通过对木马程序的分析,了解木马隐藏技术原理 能够分析木马隐藏的基本特征 能够清除一般的隐藏木马 三、实验环境 VMare workstation Windows操作系统 上兴远程 实验也可两个同学为一组,一个做为木马控制...
在2000和xp下,隐藏进程,vc6.0测试通过
yanzheng1的专栏
01-14 1276
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////Hide Process#include#include#include#defin
NT系统下木马进程的隐藏与检测(转)
weixin_34122810的博客
10-02 166
在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WINNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示木马/后门程序在WINNT中进程隐藏的方法和查找的途径。  我们知道,...
木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南
最新发布
05-30
读者可以通过理论学习了解木马隐藏的核心技术,再通过实验文档的步骤指导,在VMware环境中模拟和分析木马行为,从而获得实际操作经验。两篇文档结合,不仅加深了对木马隐藏机制的理解,还提高了实际操作和分析能力。...
网络安全-木马隐藏技术-实验分析-教学与研究-木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南.zip
05-30
本资源深入探讨了木马隐藏技术的核心原理和实验操作,提供了详细的技术剖析以及使用VMware进行网络模拟的指南。这份资料旨在为网络安全专业人员和研究者提供实用的知识和技能,帮助他们理解并对抗恶意软件的隐藏技术...
木马分析隐藏分析
lalalalala~~
11-03 1161
实验目的&要求: 了解木马隐藏技术的基本原理 提高木马攻击的防范意识 明确木马技术的发展方向 学会使用木马防范的相关工具 实现实验所提到的命令和工具,得到实验结果 预备知识 木马隐藏的技术 程序隐藏木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。 程序捆绑方式是将多个exe程序链接在一起组合成一个exe文件,当运行该exe文件时,多个程序同时运行。程序捆绑有多种方式,如将多个exe文件...
木马分析
qq_45157635的博客
06-19 1000
木马分析 原理 1.木马隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 2.木马的传统连接技术: 一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出
病毒木马防御与分析
Antz Uhl Kone
01-15 899
病毒木马防御与分析 病毒包和工具包下载:Github 一.前言 二.建立对手动查杀病毒技术的正确认识 1.病毒分析方法 2.病毒查杀步骤 3.必备知识 * 1) 熟悉windows系统进程 * 2) 熟悉常见端口与进程对应关系 * 3) 熟悉windows自带系统服务 * 4) 熟悉注册表启动项位置 三.详解Windows随机启动项目——注...
4.3 木马隐藏分析
qq_55202378的博客
07-28 3132
木马隐藏
NT系统下木马进程的隐藏与检测
weixin_33768481的博客
01-07 358
    在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切 在WINNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能 欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐 藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示 木马/后门程序在WINNT中进程隐藏的方...
一个木马分析(一)
白菜有罪的专栏
03-02 899
文件MD5:130862496f0fd7a4d6dcb519a06f9f80 分析完毕之后大概的结论有: 1)将自身拷贝到其他文件夹中,然后删除自身 2)结束指定进程,启动宿主进程 3)向系统进程注入代码 4)写启动项注册表 5)下载文件 6)查询DNS信息
一个简单的木马程序分析
weixin_47633814的博客
12-04 3152
目录Mini木马的基本原理 Mini木马的基本原理 Mini木马作为早期的远程控制类木马,基本工作原理是基于TCP的Socket技术,
木马分析-01
Bill
05-05 447
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
木马分析方法学习整理
相信未来!
05-26 1386
0x00 木马分析之旅 (待续) [1] RegSnap—注册表分析工具 [2] 怎样把任意exe程序注册成windows系统服务(手动注册服务) [3] Process Monitor监控目录 - 监控文件被哪个进程操作了 [4] Process Monitor—监控Windows系统的注册表、进程、文件系统、网络等信息 [5] 使用wireshark常用的过滤命令 [6]...
实例讲解木马分析方法
无本之木
07-27 1366
本文摘自(www.41hack.com/Document/14963/)    以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小 组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以 往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来
木马分析-02
Bill
05-06 271
序言 接着上回分析,这回分析释放出来的EXE文件. 功能 设置服务名对应的处理函数. 函数分析 0x401D00 GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径 v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值