Gh0st样本分析

最新推荐文章于 2024-01-19 23:04:00 发布
最新推荐文章于 2024-01-19 23:04:00 发布
阅读量544 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38184895/article/details/83351907
版权
本文详细分析了Gh0st恶意软件样本,包括其文件信息、隐藏加载程序、权限获取、SSDT篡改、服务伪装、注册表操作、远程控制等功能。清除方案涉及停止特定服务并删除相关DLL。
摘要由CSDN通过智能技术生成

Gh0st样本分析

###一.样本信息

  • 文件名称: DD668456CF2F3B72773D1968487BDCD5.exe
  • 文件大小:110KB
  • MD5: DD668456CF2F3B72773D1968487BDCD5
  • SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9

###二.样本分析
0x01. GetInputState()用于隐藏加载程序过慢出现的加载符号


0x02. 判断文件末尾有"AAAAAA""CCCCCCC"两个标志,并解码在"CCCCCCC"截断后的两个字符串,分别为Microsoft Device Manager监测和监视新硬件设备并自动更新设备驱动


0x03. 解码成功后获取命令行参数,如果不是Gh0st Update则继续运行,否则结束程序。之后创建互斥体判断是否存在**“AAAAAArqaxva61p72uvaenqaevp6ef"进程有则退出。




0x04. Add_Perm():用于获得"C:\WINDOWS\system32""C:\WINDOWS\system32\Drivers"权限。
Add_Acl(): 通过GetFileSecurity和SetFileSecurity设置文件的SecurityDescriptor**,则是在文件ACL中增加一条ACE来获得权限。先取出文件上的ACL,逐条取出ACE,和现需要增加的ACE比较,如果

最低0.47元/天 解锁文章
孑曦曦孑
关注
专栏目录
Gh0st 源码分析(一)
weixin_33690963的博客
12-29 4648
Gh0st 的编译与使用方法 相信很多人应该或多或少地听说过 gh0st 的大名,正如上面所说,它是一款远程控制软件,其原始版本的代码和作者已经无从考证,笔者手里这一份也来源于网络,我修正一些 bug 并作了一些优化,仅供个人学习研究,不可用于商业用途和任何非法用途,否则后果自负。 代码下载方式,微信扫描以下二维码关注【高性能服务器开发】公众号,关注后回复【gh0st】即可得到下载链接: 编译方...
Gh0st配置加密与解密算法(异或、Base64)
17bdw的编程备份笔记
05-10 462
1、前言 分析木马程序常常遇到很多配置信息被加密的情况,虽然现在都不直接分析而是通过Wireshark之类的直接读记录。 2017年Gh0st样本大量新增,通过对木马源码的分析还发现有利用Gh0st加密方式来传播的源码中的后门。 2、加密思路 控制端:对字符串异或、移位、Base64编码 服务端:对字符串Base64解码、移位、异或 3、实践代码 加密编码 // Base64编码 static char base64[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdef
gh0st源码分析与远控的编写(三)
liujiayu2的专栏
05-28 3069
好久不见。距离上次写gh0st来有好久了,一是期末考试,忙不开,二是后来电脑坏了,几天没能上网。     昨天总算是把电脑修好了,虽说没到一切重头开始的地步,但是也重装各种东西花了很久。闲下来的时间,我就来继续分析gh0st的源码吧。     上次我们把gh0st的上线给研究了一下,跟着老狼的视频,继续我们的步伐。开始实现gh0st中具体的功能。最简单的一个是“终端管理”,就是一个cmdshe
gh0st源码分析-gh0st_1
qq_22423659的博客
12-16 768
gh0st classes中定义了一堆头文件和他们的实现函数, 先从IniFile.h头文件看起:定义了设置获取文件名的函数,以及Data的类型转换函数和get函数 IniFile.cpp:初始化文件,并且设置格式的函数实现。 gh0stDoc.h: class CDocument is the main document data abstraction,然后CGh0stD
关于一款开源远程控制软件(gh0st)的源码分析(一)
weixin_39380632的博客
02-04 5234
2020年注定是不平凡的一年,前有冠状病毒的肆虐,全国上下都笼罩在一种紧张而又不安的氛围中,后有20200202这个千年难得一遇的对称时刻,朋友圈便充斥着各种祝福与童年回忆。正是因为这百年难得一遇的超长假期,才能让我有精力和时间去分析那些静静地躺在我电脑磁盘里的开源软件的源码。 gh0st这款开源软件,主要的用途是用于远程操作另一台计算机(包括远程文件的拷贝、远程视频连接),功能有点类似于QQ中的...
gh0st源码分析:屏幕监控
liujiayu2的专栏
08-17 1568
这两天一直看gh0st源码,看得也是一头雾水,下面就分析一下屏幕监控的通信过程,对屏幕扫描算法以及绘图方面就不分析了,因为我也不懂。写的有点乱,就当作个笔记了。 首先从控制端按下屏幕监控选项开始,这时控制端就会调用OnScreenspy()函数。这个函数很简单,向被控端发送COMMAND_SCREEN_SPY指令,告诉被控端我要监控你的屏幕了。此时被控端还在等待控制端的命令(ClientSo
8月25日更新GH0ST1.5免杀360四引擎无提示_挑战世界杀毒网
11-16
这里的"360四引擎无提示"可能意味着GH0ST1.5可以避开360安全卫士的四个反病毒引擎的检测,这四个引擎可能包括启发式扫描、行为分析、云查杀以及特征码扫描等。 【360安全卫士】 360安全卫士是一款广泛使用的免费...
gh0st服务端分析
07-15
gh0st服务端分析 远程控制系列
Gh0st源代码详细剖析
lhq066的博客
02-16 670
声明: 首先声明,这篇文章完全是根据自己对gh0st源代码的理解写出来的,如果有理解上的偏差或者表述上的错误本人不负责,仅供参考! 前言: 在我刚学习gh0st源代码的时候,觉得这东西好难,三个工程放在一起不说,还有那么多文件,当时就懵了。这怎么看呢?从何下手呢?我想大部分刚学习gh0st源代码的同胞们都有和我一样的想法,我废话不多说了,下面就为大家详细讲解gh0st源代码。
Gh0st焦点核(X)版[20080801]升级.rar
10-26
对于研究人员或安全专家来说,分析这个日志可以帮助了解Gh0st的新特性,从而更好地检测和防御这种威胁。 总结起来,这个压缩包文件涉及了网络安全领域中的恶意软件——Gh0st远程控制工具的升级版本,特别是其核心...
Gh0st通信协议解析(2)
ccnyou的专栏
06-08 7006
原文链接:http://blog.renren.com/blog/bp/Q78RzCJjOx 从被控端主动去连接主控端开始谈起。世间万事万物有始有终,宇宙环宇的动力起点就是上帝的那一推之力。当然,主控端与被控端的交互总是从被控端主动连接到主控端开始的,让我们从发起连接这个引爆点谈起…… ************************************************
gh0st源码分析与远控的编写(一)
东方猫的博客
06-15 2981
再过几天期末考试了,还有好多要复习。。蛋都快碎了。最近在看老狼的gh0st内核编程,想了很久要不要写文章,最后还是觉得很有必要,原因过一会讲。     先送上老狼的gh0st无加密(lxe格式)视频下载地址:     http://phith0n.400gb.com/u/29415/3193732     其中包含的gh0st源码(乱七八糟的被我的卡巴斯基杀过一遍,仅仅是源码):http:/
gh0st3.6源码分析(1)——木马的生成
ShadowAssassin的专栏
02-12 4973
分析木马程序时如何安装的之前,我们首先需要简单的了解下,木马程序时如何生成的。 我们知道,木马程序时作为资源文件被存储到主程序中的,生成木马的时候释放出来。                   那一些木马连接的配置信息是如何保存的呢?先看下面一个截图 上线字符串时时木马程序在连接客户端时必须的信息,保存着客户端地址相关信息。这段字符串时将客户端信息加密处理得来的
Gh0st通信协议解析(3)
ccnyou的专栏
06-08 7343
原文链接:http://blog.renren.com/blog/bp/Q782_Jqytx 当顺利的连接到主控端之后,按照程序的一个执行逻辑,被控端会将本机上的一些反映本机状态的一个信息发送到主控端,这个过程其实涉及到了被控端与主控端间信息的交互过程。 ************************************************************
gh0st的IOCP模型分析
XscKernel的专栏 记录工作中做的点滴
05-14 3132
分析了那么多IOCP相关api之后想把IOCP模型分析下,本人菜鸟一个,高手勿笑。gh0st是单文档类型的程序框架。 文档类型的都是从theApp开始的。theApp是一个全局变量。 那我们就先看一下CGh0stApp这个类的初始化函数 BOOL CGh0stApp::InitInstance() 下面很大一部分是生成的框架。我给大家指出来,就没必要再看这些了 直到 if (!Pr
【数据分析报告】携程客户分析与流失预测
热门推荐
changreal的博客
08-11 7万+
目录一、项目背景与目的二、探索性分析2.1 数据指标预览2.2 数据概况2.3 数据分布2.3.1 数据分布总览2.3.2 预定日期和入住日期2.3.3 访问时间段2.3.4 客户价值2.3.5 消费能力指数2.3.6 价格敏感指数分布2.3.6 入住酒店平均价格2.3.7 酒店星级偏好2.3.8 订单取消率2.3.9 用户年订单数分布2.3.10 新老客户流失率三、数据预处理3.1 去除不需要的字段与重复字段3.2 数据类型转换3.3 异常值处理3.3.1负数处理3.3.2 极值处理3.4 缺失值处理3.
网络安全:手动清除gh0st远控服务端
ann__1121的博客
06-13 477
手动清除gh0st远控服务端 为什么我们要手动清除木马呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。 病毒分析: --------------------------------...
gh0st远程控制——客户端界面编写(二)
最新发布
Tandy12356_的博客
01-19 510
远程控制客户端实现(二)
gh0stexe
01-08
gh0stexe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值