恶意软件免杀与技术(2022.05.05)

最新推荐文章于 2024-04-04 21:41:06 发布
最新推荐文章于 2024-04-04 21:41:06 发布
阅读量821 收藏
点赞数
分类专栏: Windows病毒分析 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/124593775
版权

APT37攻击朝鲜记者

Fantasy会注入被XOR加密的payload,在数据结构中定义加密的XOR密钥,payload大小,加密的数据内容。
最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。
D:\Development\GOLD-BACKDOOR\Release\FirstBackdoor.pdb
E:\Development\BACKDOOR\ncov\Release\bluelight.pdb

GNU字符串工具可以看到嵌入在word中的lnk

参考链接:
The ink-stained trail of GOLDBACKDOOR

AvosLocker勒索

在aswArPot.sys中,我们在一个switch case 中分支:case 0x9988C094:带有函数 sub_14001DC80,该函数具有清除杀毒软件的作用。
Avast官网:我们可以确认旧版驱动程序 aswArPot.sys 中的漏洞,我们在 2021 年 6 月发布的 Avast 21.5 中修复了该漏洞。
使用 C:\temp\pass\start.exe 执行密码恢复工具 XenArmor
利用黑客工具Impacket进行横向移动

BlackByte勒索

基于go语言编写,使用AdvObfuscator加密大多数字符串。

通过解除镜像劫持防止被调试,注册表位置:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
检测的进程如下
vssadmin.exe
wbadmin.exe

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
恶意软件免杀技术(2022.04.25)
摔不死的笨鸟的博客
04-25 3710
BlackGuard加密货币钱包窃取 规避以下dll的加载 SbieDll.dll 沙盒沙盒 SxIn.dll 360全方位安全 Sf2.dll Avast 杀毒软件 snxhk.dll Avast 杀毒软件 cmdvrt32.dll COMODO 网络安全 使用Obfuscar进行.NET程序混淆 BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中,此功能用于防止恶意软件在特定的东欧国家执行。 通过Chrome插件ID找到加密钱包的插件路径,然
恶意软件免杀技术(2022.10.08)
摔不死的笨鸟的博客
10-08 1234
恶意软件新动态
免杀工具 V7.1 免杀软件下载
12-05
免杀工具 V7.1 免杀软件下载
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike)
weixin_74182283的博客
04-04 1392
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
软件免杀过程的一些疑问,请高手解答!
weixin_34409822的博客
08-15 69
   最近看了《***手册》上面介绍的关于对捆绑软件的免杀处理,对该文我反复看了十几遍,仍然不得要领。现将其中的疑问归纳如下: (1)文中所提的国外免杀软件在光盘和杂志官方网站均为见到。 (2)使用myccl工具对软件进行定位有好几个概念,复合定位,单一定位,二次处理以及生成。文中说的很模糊,而且在对软件进行特征定位时,有可能出现多个特征码,在output文件夹下会生成很多文件,这些文件是否需...
免杀简单介绍
qq_38675102的博客
01-05 2682
免杀简单介绍
Android恶意软件检测研究与进展.7z
03-24
以此为基础,结合 Android平台特性和移动智能终端环境限制,系统化论述了现有 Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍 了基于特征值和基于...
恶意代码演化与溯源技术研究.pdf
07-23
恶意代码演化与溯源技术研究.pdf
网络安全中恶意软件的行为研究与检测.pdf
09-20
网络安全中恶意软件的行为研究与检测.pdf
恶意代码分析与防治技术.zip
最新发布
06-02
恶意代码分析与防治技术.zip
万能加壳免杀工具
04-02
实现多种加壳免杀,支持EXE ,DLL 类文件的加壳,压缩自身体积
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
绕过AV:免杀shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
恶意软件免杀技术(2022.03.18)
摔不死的笨鸟的博客
03-18 348
BlackCat勒索 链接:https://blog.talosintelligence.com/2022/03/from-blackmatter-to-blackcat-analyzing.html 在设置反向 ssh 计划任务工具之前,攻击者禁用了任务计划程序的日志 c:\windows\system32\wevtutil.exe set-log microsoft-windows-taskscheduler/operational /enabled:false C++实现了写入 C:\目录的alter
恶意软件免杀技术(2022.03.25)
摔不死的笨鸟的博客
04-01 449
LockBit LOCKBIT检查进程控制块 (PEB)中的NtGlobalFlag字段,以检测是否正在调试恶意软件进程 使用FNV1A对每个名称(小写)进行哈希处理并与硬编码哈希进行比较,然后返回相应的 DLL 库 LockBit尝试通过修改自己的访问控制列表来限制对自己进程的访问 限制进程访问 调用GetSecurityInfo来检索进程的安全描述符 ACL 调用RtlAllocateAndInitializeSid为EVERYONE 组分配和初始化具有SECURITY_WORLD_SID_AUTHOR
Avast 和 AVG 杀软中的两个高危漏洞已存在10年?!影响数百万设备
smellycat000的专栏
05-06 578
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究员在Avast和AVG杀软解决方案的一款合法驱动中发现了已潜伏多年的两个高危漏洞:CVE-2022-26522和CVE-2022-26523。SentinelOne 公司的研究员 Kasif Dekel 发现了这两个漏洞,他指出,“这些漏洞可导致攻击者提升权限,从而禁用安全产品、覆写系统组件、损坏操作系统或畅通无阻地...
学习免杀技术请从下面开始
瞎几把学
08-25 796
 1.基础的汇编语言2.修改工具(不指那些傻瓜式软件)。如:OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一、要使一个木马免杀首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀
免杀基础知识总结
w4y2'blog
04-27 1580
最近研究木马免杀,先了解一下基础的免杀知识,看了《杀不死的秘密》、《黑客免杀攻防》等免杀书籍,发现都大同小异,基本内容都是一样的,找特征码,修改特征码....我认为免杀还是要针对杀毒软件的查杀特性来做,所谓知己知彼,用在免杀上就特贴切。能够写在书本上的技术肯定不是最新的技术,反病毒软件肯定也有了应对措施,要想真正做到免杀,还是要通过其它渠道学习或是自己深入研究。但是,曾经的免杀方法并不是无用了,而
免杀技术详解
人生代码,代码人生。。。
11-19 3998
[免杀]免杀技术详解 杀毒软件奈我何                     ——免杀技术详解 逆流风 注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。 一、加壳免杀 壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破
verify captcha | ucaptcha2022.com
10-12
通过这种方式,ucaptcha2022.com 帮助网站所有者保护他们的网站免受机器人或恶意程序的攻击。由于计算机程序一般难以正确识别和回答验证码,因此这种验证方式是一种有效的工具来确保只有真正的人类用户才能继续访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值