Gh0st样本分析

最新推荐文章于 2020-02-04 20:08:55 发布
最新推荐文章于 2020-02-04 20:08:55 发布
阅读量500 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38184895/article/details/83351907
版权
Gh0st样本分析###一.样本信息文件名称: DD668456CF2F3B72773D1968487BDCD5.exe文件大小:110KBMD5: DD668456CF2F3B72773D1968487BDCD5SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9###二.样本分析0x01. GetInputState()用于隐...
摘要由CSDN通过智能技术生成

Gh0st样本分析

###一.样本信息

  • 文件名称: DD668456CF2F3B72773D1968487BDCD5.exe
  • 文件大小:110KB
  • MD5: DD668456CF2F3B72773D1968487BDCD5
  • SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9

###二.样本分析
0x01. GetInputState()用于隐藏加载程序过慢出现的加载符号


0x02. 判断文件末尾有"AAAAAA""CCCCCCC"两个标志,并解码在"CCCCCCC"截断后的两个字符串,分别为Microsoft Device Manager监测和监视新硬件设备并自动更新设备驱动


0x03. 解码成功后获取命令行参数,如果不是Gh0st Update则继续运行,否则结束程序。之后创建互斥体判断是否存在**“AAAAAArqaxva61p72uvaenqaevp6ef"进程有则退出。




0x04. Add_Perm():用于获得"C:\WINDOWS\system32""C:\WINDOWS\system32\Drivers"权限。
Add_Acl(): 通过GetFileSecurity和SetFileSecurity设置文件的SecurityDescriptor**,则是在文件ACL中增加一条ACE来获得权限。先取出文件上的ACL,逐条取出ACE,和现需要增加的ACE比较,如果

最低0.47元/天 解锁文章
孑曦曦孑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gh0st 源码分析(一)
weixin_33690963的博客
12-29 4619
Gh0st 的编译与使用方法 相信很多人应该或多或少地听说过 gh0st 的大名,正如上面所说,它是一款远程控制软件,其原始版本的代码和作者已经无从考证,笔者手里这一份也来源于网络,我修正一些 bug 并作了一些优化,仅供个人学习研究,不可用于商业用途和任何非法用途,否则后果自负。 代码下载方式,微信扫描以下二维码关注【高性能服务器开发】公众号,关注后回复【gh0st】即可得到下载链接: 编译方...
gh0st3.6sr
12-23
gh0st3.6sr】是一个特定版本的远程访问工具,主要由编程语言C++编写,并在Visual Studio 2017环境下进行了编译。这个名称中的"gh0st"是工具的别名,而"3.6sr"可能表示这是该软件的第3.6个版本的特殊修订版。在IT...
gh0st源码分析与远控的编写(三)
liujiayu2的专栏
05-28 3042
好久不见。距离上次写gh0st来有好久了,一是期末考试,忙不开,二是后来电脑坏了,几天没能上网。     昨天总算是把电脑修好了,虽说没到一切重头开始的地步,但是也重装各种东西花了很久。闲下来的时间,我就来继续分析gh0st的源码吧。     上次我们把gh0st的上线给研究了一下,跟着老狼的视频,继续我们的步伐。开始实现gh0st中具体的功能。最简单的一个是“终端管理”,就是一个cmdshe
gh0st源码分析-gh0st_1
qq_22423659的博客
12-16 740
gh0st classes中定义了一堆头文件和他们的实现函数, 先从IniFile.h头文件看起:定义了设置获取文件名的函数,以及Data的类型转换函数和get函数 IniFile.cpp:初始化文件,并且设置格式的函数实现。 gh0stDoc.h: class CDocument is the main document data abstraction,然后CGh0stD
关于一款开源远程控制软件(gh0st)的源码分析(一)
weixin_39380632的博客
02-04 4985
2020年注定是不平凡的一年,前有冠状病毒的肆虐,全国上下都笼罩在一种紧张而又不安的氛围中,后有20200202这个千年难得一遇的对称时刻,朋友圈便充斥着各种祝福与童年回忆。正是因为这百年难得一遇的超长假期,才能让我有精力和时间去分析那些静静地躺在我电脑磁盘里的开源软件的源码。 gh0st这款开源软件,主要的用途是用于远程操作另一台计算机(包括远程文件的拷贝、远程视频连接),功能有点类似于QQ中的...
gh0st源码分析:屏幕监控
liujiayu2的专栏
08-17 1506
这两天一直看gh0st源码,看得也是一头雾水,下面就分析一下屏幕监控的通信过程,对屏幕扫描算法以及绘图方面就不分析了,因为我也不懂。写的有点乱,就当作个笔记了。 首先从控制端按下屏幕监控选项开始,这时控制端就会调用OnScreenspy()函数。这个函数很简单,向被控端发送COMMAND_SCREEN_SPY指令,告诉被控端我要监控你的屏幕了。此时被控端还在等待控制端的命令(ClientSo
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制
07-14
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制】这个压缩包文件涉及到的是一个名为"gh0st"的远程控制软件的版本,该版本是使用Visual Studio 2017(VS2017)进行编译开发的。在网络安全领域,"gh0st"是一种知名...
gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_
10-02
"gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_"这个标题表明我们正在处理的是Gh0st远程控制软件的3.6版本的源代码。Gh0st是一款知名的远程控制工具,通常用于系统管理和维护,但也可能被滥用进行非法活动。"src...
基于Gh0st3.8修改编译成功的远程控制源代码
11-17
【标题】"基于Gh0st3.8修改编译成功的远程控制源代码"涉及到的主要知识点是关于远程控制软件的开发和Gh0st软件的深入理解。Gh0st是一款知名的远程控制工具,通常由程序员或安全研究人员用于测试系统安全性,而非法...
gh0st远程控制
06-18
对于安全研究人员来说,分析这些文件可以帮助理解gh0st的工作机制,发现潜在的漏洞,并开发相应的防御策略。 总的来说,gh0st远程控制是一个严重威胁网络安全的工具,理解和防范它至关重要。用户应提高网络安全意识...
gh0st源码笔记_详解.
07-01
gh0st源码笔记_详解,与棉猴源码详讲教程配套。
gh0stexe
01-08
gh0stexe
Gh0st完全功能版
07-30
做了功能完善 无毒无后门 自己查 控制端做了免杀处理
gh0st远控(华夏专版)
09-04
Gh0st(华夏版)远程控制软件2010版,经典的远程控制软件,功能完整,支持屏幕查看、键盘记录、远程摄像头开启等等一些列功能,功能都经过本人测试。
gh0st服务端分析
07-15
gh0st服务端分析 远程控制系列
Gh0st通信协议解析(2)
ccnyou的专栏
06-08 6982
原文链接:http://blog.renren.com/blog/bp/Q78RzCJjOx 从被控端主动去连接主控端开始谈起。世间万事万物有始有终,宇宙环宇的动力起点就是上帝的那一推之力。当然,主控端与被控端的交互总是从被控端主动连接到主控端开始的,让我们从发起连接这个引爆点谈起…… ************************************************
gh0st源码分析与远控的编写(一)
东方猫的博客
06-15 2931
再过几天期末考试了,还有好多要复习。。蛋都快碎了。最近在看老狼的gh0st内核编程,想了很久要不要写文章,最后还是觉得很有必要,原因过一会讲。     先送上老狼的gh0st无加密(lxe格式)视频下载地址:     http://phith0n.400gb.com/u/29415/3193732     其中包含的gh0st源码(乱七八糟的被我的卡巴斯基杀过一遍,仅仅是源码):http:/
gh0st3.6源码分析(1)——木马的生成
ShadowAssassin的专栏
02-12 4886
分析木马程序时如何安装的之前,我们首先需要简单的了解下,木马程序时如何生成的。 我们知道,木马程序时作为资源文件被存储到主程序中的,生成木马的时候释放出来。                   那一些木马连接的配置信息是如何保存的呢?先看下面一个截图 上线字符串时时木马程序在连接客户端时必须的信息,保存着客户端地址相关信息。这段字符串时将客户端信息加密处理得来的
Gh0st通信协议解析(3)
ccnyou的专栏
06-08 7302
原文链接:http://blog.renren.com/blog/bp/Q782_Jqytx 当顺利的连接到主控端之后,按照程序的一个执行逻辑,被控端会将本机上的一些反映本机状态的一个信息发送到主控端,这个过程其实涉及到了被控端与主控端间信息的交互过程。 ************************************************************
VS2010编译Gh0st3.6:从VC6.0到VS2010的迁移教程
本篇内容详细介绍了如何在Visual Studio 2010(VS2010)环境下编译Gh0st 3.6,这是一个从较旧的VC6.0平台迁移到VS2010的重大挑战。Gh0st 3.6利用了第三方库CJ60Lib,但该库仅支持VC6.0,因此在VS2010中使用时,必须...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值