木马核心技术剖析读书笔记之木马实例解析

最新推荐文章于 2021-03-26 13:18:06 发布
最新推荐文章于 2021-03-26 13:18:06 发布
阅读量2.6k 收藏 10
点赞数 4
分类专栏: 读书笔记 木马核心技术剖析读书笔记 文章标签: 木马核心技术剖析 读书笔记 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79561496
版权

模块化的木马系统架构

image_1c50udobt17nvkm4kvlrjp198mm.png-773kB

被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分

Dropper

Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,对不同的杀软使用不同的穿透策略,如不同方式的启动项写入、不同的文件释放方式、不同的驱动安装方式等。在一些情况下,要利用某些杀软的功能缺陷,对杀软的功能进行禁用或关闭。在 Windows Vista 之后的系统中,Dropper 在执行过程中还要考虑UAC的问题,需将 Droppr 的执行权限提升至管理员权限,而非受限用户权限,否则无法成功植入。完成木马的植入后,Dropper 进行自我清除。Dropper 组件是木马能否成功植入目标机器的关键,有需要对部分代码进行加密,以便降低被安全软件查杀的可能

常驻模块

常驻模块是在木马植入后在目标机器上长期运行的模块。该组件与木马控制端进行通信,传送被控端获取到的数据,接收控制端发来的控制命令。常驻模块需能自动判断目标机器所在的网络是否使用了代理,并能穿透代理。常驻模块通常需要使用 Rootkit 技术,隐藏木马的主要组件模块、通信端口和连接等信息&#

最低0.47元/天 解锁文章
PolluxAvenger
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
木马核心技术剖析读书笔记木马通信与防火墙穿透
不急不躁
03-15 1421
基于 TCP 的木马控制通信 TCP 协议是字节流式的传输协议 ,木马通信还需要自定义应用层的协议 被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到 粘包与分包处理 粘包是指在接收方接收数据时,可能一次接收到多个数据包的数据组成的数据段,也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段 TCP粘包产生有两方面原因:...
木马核心技术剖析读书笔记之Windows 64 位系统下的木马技术
不急不躁
03-15 449
对比 32位系统 64位系统 物理内存最大容量 4GB 2TB 单进程地址空间最大容量 3GB 8TB Windows 64 位系统 当前64位平台上只实现了48位的线性地址空间,0-47位是地址,48-63保持与第47位相同。低地址范围:0x0000000000000000-0x00007FFFFFFFFFFF,高地址范围:0xFFF...
木马的C/S架构
neibubo1的专栏
11-21 2808
远程计算机监控和管理,让网络管理员可以不必亲临计算机,就可以像坐在计算机前 面一样进行管理,大大地提高了管理工作的效率和方便性。只是这些功能必须利用操作系 统内建的监控工具或安装其他网络管理工具才能实现。 木马程序是一类特殊的计算机程序,其作用是在一台计算机上监控被植入木马计算机 的情况。与网络管理工具的最大区别在于,木马程序总是偷偷摸摸地进入其他人的计算 机,而网络管理工具则是光明正大地安
木马查杀深度剖析.pdf 原生彩色文字版 含书签目录
10-30
原来PDF含广告,我转了Word花了好大力气去了广告,现在转回了PDF。如果内容有遗失,你们可以下载原来的PDF和转的Word。名字叫:木马查杀深度剖析(打包).pdf
木马常见植入技术大剖析
12-22
首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。
木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南
最新发布
05-30
它包括两篇精心编写的PDF文档:一篇深入剖析木马如何利用各种技术隐藏自己,包括基于用户模式和内核模式的Rootkit、文件隐藏、文件系统驱动(FSDs)操作、模块隐藏以及端口隐藏等;另一篇则通过实验操作,展示了...
深度解析木马隐藏技术:核心原理与VMware网络实验指南
05-29
- **技术剖析**:深入探讨木马如何利用Rootkit、文件隐藏、文件系统驱动(FSDs)、模块隐藏和端口隐藏等技术进行隐藏。 - **模式分析**:特别关注用户模式和内核模式下的隐藏策略。 **VMware环境中的木马行为实验** ...
网络安全-木马隐藏技术-实验分析-教学与研究-木马隐藏技术深度解析与实验分析:核心技术剖析与VMware网络模式指南.zip
05-30
本资源深入探讨了木马隐藏技术的核心原理和实验操作,提供了详细的技术剖析以及使用VMware进行网络模拟的指南。这份资料旨在为网络安全专业人员和研究者提供实用的知识和技能,帮助他们理解并对抗恶意软件的隐藏技术...
木马核心技术剖析读书笔记木马反分析技术
不急不躁
03-16 918
常见的恶意软分析技术主要包含静态分析和动态分析两大类 反调试 木马程序使用反调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程 Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的 调试器工作机制 反病毒分析过程中,由于不可能获取到被分析软件的源码,...
js的packed加密解密
12-02
提供对eval(function(p,a,c,k,e,d)类型脚本的解密加密。很方便的。
木马核心技术剖析读书笔记木马驱动加载与启动
不急不躁
03-18 1193
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
LPK木马分析-01
Bill
05-02 437
序言 在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用. WinMain int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...
Carberp木马研究资料
crystal0011的专栏
10-30 1130
Carberp / Rovnix Analysis http://go.eset.com/us/resources/white-papers/carberp.pdf http://www.welivesecurity.com/2013/03/25/carberp-the-never-ending-story/ http://www.welivesecurity.com/2011/08/23/
关于木马的常见套路
一只正在努力进化的程序猿
03-06 1622
看着一堆像乱码的东西,或许一般人都不会在意吧,但如果你细心的话还是有迹可循的,通常写木马的人都喜欢用字符串拼接成自己想要的东西,其实更难看一点的话,会用各种变量穿插到里面,然后混淆你的视线,图中eval();gzuncomoress();base64_decode();三个函数显然就被拆分开了。 一些大马都喜欢用base64加密。说来也怪平常偷懒,没做安全防护的工作,毕竟我觉得像我们公司这种...
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
热门推荐
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
实例讲解木马的分析方法
[智能天空教程区 Smart-sky]
02-09 1029
以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值