![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒木马
文章平均质量分 57
左道diffway
个人邮箱sunqiang545@163.com
展开
-
burpsuite1.6 安装教程
现在为大家介绍burpsuite的安装方法原创 2014-10-16 13:02:15 · 2144 阅读 · 0 评论 -
盗号木马分析
木马共采用vb和c#两种外壳,来保护真正的核心代码,并采用采用对核心代码加密来躲避杀软,从执行到结束都在内存中,无交互,收集完信息之后直接通过RC4加密后发送到C&C服务器,同时里面有很多反虚拟机和反分析技术。发送完信息直接删除原文件,消失的无影无踪。经分析发现,此盗号木马通过本地的一些配置、缓存、.dat文件可以盗取多种FTP、浏览器、邮箱、虚拟币的账号和密码。代码分析 此木马一共分为两个版本分原创 2016-11-22 10:03:06 · 3243 阅读 · 1 评论 -
一个后门分析
文件信息: 壳信息:无壳 编译器:vs2010 1. 文件运行后,会首先判断文件是否在C:\WINDOWS\system32目录下,如果没有则拷贝自身到这个目录下,并将自身设为服务进程,随开机启动接着会启动这个服务,并在临时文件夹创建一个.bat文件并执行。这个文件主要是删除原有文件服务启动后会尝试连接C&C服务器,域名一共有两个X5.XITONGAA.COM和X6.XITONGAA.CO原创 2016-11-22 09:47:17 · 1028 阅读 · 0 评论 -
盗取网站账户密码和本地邮箱木马分析
发现了一种盗取浏览器保存的网站账户密码和本地邮箱的账号和密码的木马,这个木马主要通过使用Mail passView和webBrowserPassView两款查看账号密码的软件,通过两款外壳来对两个工具进行加密,然后进行注入,执行后发送到 黑客的服务器中。样本剖析该样本一共有两种外壳,两种外壳都是将核心文件解密出来 下图是解密出的核心文件,是个PE文件 核心文件是个VB编写的文件,且图标都是这个原创 2016-11-22 09:37:39 · 4856 阅读 · 1 评论 -
zbot木马分析
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启原创 2016-11-22 09:27:37 · 2497 阅读 · 1 评论 -
parite家族样本分析
parite家族,此家族属于蠕虫系列,在这次发现的样本中使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。启动后通过开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中其他文件进行感染,即使将钩子卸载也无济于事。可以看到开头有一段揭秘函数,可以判断病毒在可执行文件中,病毒使用了多态变形技术,这种技术主要是为了躲避早期杀原创 2016-11-22 00:50:42 · 1558 阅读 · 0 评论