RootKit分析:主页保安推广病毒+独狼2 排查与分析全过程

最新推荐文章于 2023-04-24 17:26:27 发布
最新推荐文章于 2023-04-24 17:26:27 发布
阅读量1k 收藏 1
点赞数
分类专栏: RootKit Windows病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/104814201
版权

两页页码保护

在这里插入图片描述
在这里插入图片描述

Rootkit系列病毒“独狼”属于比较有历史的一种底层病毒,最近一次出现在去年四月份,并持续活跃至今。由于在安装盗版Ghost系统时就潜伏其中,Rootkit病毒家族可轻易获取系统底层权限,阻截杀毒软件的查杀,并随时在用户机器上执行任意代码操作。本篇分享分析与排查过程一篇。

拖入IDA反编译exe发现有AutoIt字样,显然恶意软件是AutoIt脚本写的。这里是独立的可执行文件,该文件实际上是AutoIt解释器,其中将编译后的脚本作为资源嵌入其中。
在这里插入图片描述
使用Exe2Aut软件可以提取出原始脚本如下图所示。
样本中使用InitializeSecurityDescriptor初始化安全描述符和SetSecurityDescriptorDacl设置把参数DACL设置为NULL,其实相当于将object的安全级别降到了最低,所有的访问请求都将成功。
在这里插入图片描述
之后样本会释放一系列文件,为了能捕捉到这些文件,我们下CreateProcess和ShellEx

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
恶意软件分析——RootKit高级分析技术
摔不死的笨鸟的博客
12-16 871
RootKit的运行特点是运行之后不退出、不创建其他进程,进程行为几乎完全模仿正常程序。普通方法很难察觉到它们的病毒目的。 这类病毒的目的多是: 1.密码窃取病毒 会进行密码爆破,cookie偷取,键盘记录,DNS枚举,长期藏匿于电脑中一旦得手就给远程服务器连接。 2.感染型病毒 ...
后门技术及rootkit工具-Knark分析及防范(二)
weixin_34228617的博客
09-16 121
四、Knark软件包的安装和使用该软件包的核心软件是knark,c,它是一个Linux LKM(loadable kernel-module)。运行命令"make"来编译knark软件包,通过"insmod knark"命令来加载该模块。当knark被加载,隐藏目录/proc/knark被创建,该目录下将包含以下文件:author 作者自我介绍files  系统中隐藏文件...
QQ空间自动发广告说说?可能是激活工具附带的独狼Rootkit
四海一叶秋的博客
01-23 8003
关于独狼Rootkit的介绍,可以看腾讯电脑管家的文章: 暴风激活工具传播独狼Rootkit新变种 病毒来源: 很多人也是听信这个弹窗,直接退出杀毒软件再打开激活工具,正中病毒下怀。 这里的激活工具都是加料的,双击运行后,释放运行病毒和激活工具。 上面kkk222.exe的就是病毒,下面的才是激活工具,任务管理器里也可以看到两个baofeng进程。 打开Pchunter,查看驱动模块选项...
Rootkit病毒
VBcom的专栏
04-27 4232
        Rootkit病毒是一类特殊的病毒,其最大的特点是“隐形”。采用Rootkit技术的病毒,虽然存在于系统中,但是通常情况下病毒文件本身是被隐藏起来的,根本无法通过资源管理器及各种普通的文件管理工具查看到。典型的Rootkit木马病毒,有著名的“Hxdef100”“C.I.A.”,国内的“AFXRootkit”“黑客之门”等。Rootkit木马可以在目标主机上将自身程序进行隐藏,同时
Jomalone(“独狼”)的Rootkit后门dll分析
最新发布
好好学习,天天向上
04-24 677
从England.sys(md5为B5F7DE342B1D661E57BCD14615CADEFA)驱动文件中提取了4个dll文件,其中两个64位dll,两个32位dll,主要用于APC注入。
计算机病毒分析及防范论文.doc
12-01
计算机病毒的分类:计算机病毒可以分为多种类型,包括boot病毒、文件病毒、宏病毒Rootkit病毒等,每一种类型的计算机病毒都具备不同的特点和破坏能力。 计算机病毒的防范:计算机病毒的防范是非常重要的,需要...
Rootkit木马隐藏技术分析与检测技术综述
02-08
Rootkit木马隐藏技术分析与检测技术综述 Rootkit木马隐藏技术是指Rootkit木马通过修改Windows操作系统的内核模块或设备驱动程序来隐藏自己的存在,以避免被安全软件或系统管理员发现。常见的Rootkit木马隐藏技术...
rootkit:用于恶意软件分析培训的简单而有效的 rootkit
06-11
2. **用户空间程序**:与驱动程序交互,提供攻击者远程访问和控制系统的能力。 3. **钩子机制**:通过植入系统函数或API调用来隐藏恶意活动,防止被常规安全软件检测到。 4. **文件系统隐藏**:使恶意文件在文件...
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测 Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit...
Rootkit的学习与研究
08-10
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。
Windows Rootkit分析与检测
10-09
Windows Rootkit分析与检测
关于rootkit
吖吖狼 的专栏
06-24 1427
一、定义 rootkit是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”。换句话说,rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码。 rootkit提供了两个主要功能:远程命令和控制,以及软件窃听。 远程命令和控制(简称远程控制):包括对文件进行控制,导致系统重启或“死机蓝屏”,以及访问命令shell(即cmd.exe或
应急响应--linux常用查杀工具:Rootkit查杀
xianjie0318的博客
07-09 4653
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 rootkit主要有两种类型:文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代...
什么是 Rootkit
南北极之间
07-06 4965
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
Rootkit
热门推荐
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
简单认识Anti-RootKit
程序人生,学海无涯
05-07 3262
简单认识Anti-RootKit 作者:single 现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK
Windows Rootkit 技术分析
大浪淘沙的专栏
06-21 1063
Windows Rootkit 技术分析原始连接:http://blog.csdn.net/gzfqh/archive/2006/02/04/591879.aspx 现在很多人对rootkit认识不够,可以说空白。而此文的目的就是让大家认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。 ***************************
APTHunter——Windows安全日志排查好帮手
摔不死的笨鸟的博客
12-16 4665
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。 服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。 服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问
恶意代码与安全威胁:从病毒Rootkit解析
"该文档是关于软考信息安全工程师的知识点整理,涵盖了恶意代码的各种类型,如计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、细菌、恶意脚本等,以及与之相关的技术,例如ActiveX和间谍软件。此外,文档还提到了UNIX/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值