CHM木马的分析与利用

最新推荐文章于 2024-05-23 21:44:11 发布
最新推荐文章于 2024-05-23 21:44:11 发布
阅读量1.8k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/98473518
版权
本文详细介绍了CHM木马的行为分析,包括利用WINRAR解压、注册启动项及执行流程。作者通过反编译与再创造,展示了如何构建CHM后门,并探讨了其绕过杀毒检测的可能原因。同时,作者分享了个人学习网络安全的历程,期望能得到圈内前辈的指导。
摘要由CSDN通过智能技术生成

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。PHP大马

偶然获得了一个过X60启动的CHM木马,由于从未接触过此类木马,遂进行一番学习,并通过木马所带来的启发再创造。

1.png

一、木马行为分析

CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图所示,可以发现CHM文件内部包含一个说明.html文件。

2.png

打开说明.HTM文件可以发现里面存着混淆过的JS脚本代码:

3.png

进行一番解密并写下粗略的注释  PS:本人并未学过JS

最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
病毒技术编写揭密CHM
09-20
病毒技术编写揭密CHM
CHM木马
abg49988的博客
12-14 398
一. 弹出计算器 打开EasyCHM,工具 -> 反编译指定的CHM,选择目标文件和反编译工作目录。 进入反编译的工作目录,找到并编辑主页文件,这里是index.html 在<body></body>标签内部插入执行代码,这里以弹出计算器为例 代码 <OBJECT id=x classid="clsid:adb880a6-d...
一个chm恶意文件分析
最新发布
2401_83680667的博客
05-23 155
这些参数包括 Command(表示执行类型)、Button(表示按钮样式)、Item1 和 Item2(表示快捷方式的属性)。cfx 的作用是创建C:\ProgramData\Iconcache.dat"并解码成C:\ProgramData\Iconcache.vbs,vbs的内容为。在html 中有两个OBJECR标签,标签的作用是创建一个 ActiveX 控件,在页面上创建快捷方式,随后调用click函数从而执行快捷方式对应的内容。wsy的功能为执行vbs ,下载文件并执行。
Colbalt Strike之CHM木马
浅笑996的博客
11-15 1243
一、命令执行(calc)木马生成 1.生成木马 首先创建一个根目录,文件名为exp 在文件夹里创建两个目录和一个index.html文件 在两个目录里分别创建txt文件或html文件 index.html写入以下内容 &amp;lt;!DOCTYPE html&amp;gt;&amp;lt;html&amp;gt;&amp;lt;head&amp;gt;&amp;lt;title&amp;gt;Mousejack replay&amp
temp7
09-03 428
CHM电子书木马制作全攻略 http://www.hackbase.com 2007-8-2 1 黑客基地        说起CHM格式
黑客技术 详解电子书(CHM)木马病毒
Penlee's Blog
07-17 2408
电子书木马(以下所指的电子书均指CHM格式的电子书)?其实这种方式的木马传播方法很早就有出现,但好象是多以网页木马的形式存在的,也就是把所谓的一个网页木马加入电子书里,这种效果和一般的网页木马的效果一样受到漏洞范围的限制,因此一直没引起人们的太大关注,也许大家觉得这样还不如直接的网页木马来得方便,其实不然,因为电子书相对与网页而言有许多“优点”,当然这里所谓的“优点”是指在传播木马方面而言的!
启动项分析工具Autoruns.zip
05-28
与图形界面版本相比,命令行版本可以导出结果到文本文件,方便进一步分析或与其他工具集成。 4. **Eula.txt**:这是End User License Agreement(最终用户许可协议)的文本文件,详细规定了用户使用该软件的权利和...
易语言CHM反编译源码-易语言
06-13
7. 源码分析与调试:学习如何分析反编译源码,理解其工作原理,以及如何利用调试工具进行问题排查。 8. 自定义工具开发:通过编写易语言程序,实现CHM到HTML的自动化转换,提升工作效率。 9. 安全性考虑:了解反...
挂马网站分析追溯技术与实践
12-10
《挂马网站分析追溯技术与实践》一书深入探讨了挂马网站的分析与追溯技术,为网络安全领域提供了宝贵的资源。挂马网站是指那些被恶意植入代码,利用访问者的计算机安全漏洞来传播恶意软件的网站。这类网站已成为网络...
病毒原理.chm
11-16
《病毒原理》是一份深入探讨计算机病毒本质的高质量资源,以CHM(Compiled HTML Help)格式呈现,这种格式便于组织和检索技术文档。该资料包含了完整的病毒理论和实践知识,对于理解病毒的工作机制以及如何防范它们...
软件漏洞分析入门.CHM
02-22
软件漏洞分析入门.CHM软件漏洞分析入门.CHM软件漏洞分析入门.CHM
Easy CHM免激活版 V3.9.3 绿色免费版.rar
07-11
EasyCHM是比较简单的CHM制作工具,但是需要注册购买才能使用,否则制作出来的CHM文件目录首尾会有广告内容。这里上传的是免注册就能使用的版本,亲测有效。
CHM木马(简单高效)
Anonymous
11-13 4798
这是现在网上比较普遍的一种中马方法,主要就是利用CHM可以将可执行文件包含其中,并且利用简单的html就可以让程序自动运行,制作方法非常简单,主要就是木马的选择,由于不知道对方机器上是否用了杀毒软件,也不知道是什么杀毒软件,所以要用绝对不被查杀的木马或是后门程序(自己加壳的方法也不错‘最好是一些不太知名的加壳软件),另外还有用到CHM制作工具,推荐QuickCHM。将木马和html文件放在同一文件
了解一下木马
w1304099880的博客
09-17 1565
木马木马的分类木马的特征木马入侵的方式木马的伪装手段制作木马常用工具木马的加壳与脱壳木马脱壳 在Internet中,木马是一类对计算机具有强大的控制和破坏能力,以窃取账号密码和偷窥重要信息为目的的程序。 组成:硬件部分、软件部分和具体连接部分。 1.硬件部分是指建立木马连接所必须的硬件实体,主要包括服务端、控制端和Internet。 2.软件部分是指实现远程控制所必须的软件程序。 (1)控制端程序运行于控制远程服务端的程序。 (2)服务端程序又称木马程序,它潜伏在服务端内部,以获得目标计算机的操作权限。 (
java导出chm格式数据包_Windows 10帮助文件chm格式漏洞挖掘
weixin_39912368的博客
12-12 485
在xp系统下windows帮助文件格式为hlp,在win7/win8/win10下,微软升级了帮助文件格式,使用了chm格式,这里引用维基百科上的说明微软HTML帮助集,即编译的HTML帮助文件(英语:Microsoft Compiled HTML Help, CHM),是微软继承早先的WinHelp发展的一种文件格式,用来提供在线帮助,是一种应用较广泛的文件格式。因为CHM文件如一本书...
危险的CHM电子书
追影-追踪高级威胁,捕获0day漏洞
03-16 2348
0x1 摘要: 利用CHM格式文件的hhctrl控件的灵活易用性,可以成功执行任意可执行程序,而且没有UAC报警,CHM格式就变成了一个具有潜在威胁的EXE程序.因此黑客很容易利用这种帮助文档执行恶意程序,广大网民针对帮助文档文件的警惕性往往比EXE文件要低很多,使黑客更加容易入侵成功。 0x2 原理: CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,由于使用方便形式
编辑,修改chm帮助文档,无需修改繁琐的html文件,可以直接编辑修改chm
热门推荐
每一件自己觉得值得的事都要不留余力的去做
04-16 3万+
小编最近遇到一个需求就是要把项目设计的所有开发设计的东西,做成类似于api的帮助文档手册。刚开始做完之后,后面挤牙膏似的遇到了要不断修改chm帮助文档,但是生成的时候是编辑的html网页文件,开始的时候是一脸懵B,那就改呗。过了几天一堆文档都要堆过来了,还要修改,想想去修改那么多的html文件,头都大了,就想能不能找到一款可以编辑帮助文档的一款软件。还是有很多坑的,我收到了一款叫 chm Edito
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值