围城

20210309 -（本篇文章仅仅是对几篇文章的阅读感悟，非专业人士）0.引言360netlab的网站[1]上，有一个系统名字叫做networkscan mon，这个信息库做的非常好，虽然说仅仅是一些统计信息的展示。但是这个内部的原理挺让人好奇的，可能360能够拿到真实的流量，然后的确进行了这部分检测，但是个人感觉这个可能性不大；另外一种可能性就是利用自己的蜜罐或者少量的一些探针来进行监视，然后利用一定的流量估计方法，估计出全部的，以上仅仅是推测。而扫描流量的特征，可能就是从TCP包的角度，例如一些扫

20210204 -记录学习僵尸网络中学习到的一些内容。资料Peer-to-Peer Botnets for Beginners - MalwareTechTracking the Hide and Seek Botnet - MalwareTechSearching for the Reuse of Mirai Code: Hide ‘N Seek BotGitHub - TreeHacks/botnet-hackpack: Build a basic Command & Con

20200805 -引言关于Mirai的环境搭建，我记得能搜到很多结果。不过我当时并没有想要启动mirai的所有功能。毕竟其实他的代码也有缺陷，现在想扫出来结果也有点难了。后面可能还是需要这些功能来辅助扫描结果，其他功能还是要开启。这里先记录一个别人的搭建步骤，后面再来记录我自己的。[1]他人环境搭建在这个环境的部署过程中，需要下载很多东西，包括各种乱七八糟的东西，还有交叉编译的环境，为了获得CNC的服务器，还要有go的启动环境。我个人觉得，还是弄一个docker的环境更好。参考文章[1] Mi

20200809 -引言DGA算法是一种生成域名的算法：以时间或者一些特定字符串作为种子，然后利用一定的算法（例如加密算法），来生成随机域名的方式。恶意软件的制作者通过这种方式来迷惑安全工作者，传统的恶意软件利用硬编码的方式将CC域名保存在程序中，安全工作者可以对这部分域名进行封堵实现截断通信的过程。在DGA算法的帮助下，恶意程序会发出大量DNS请求（包含DGA生成的域名），而制作者利用同样的算法和同样的种子生成同样的列表，从中挑选任意个在DNS厂商进行注册，以此躲避封堵。而针对DGA的研究，可以有

2020/04/20 -（文章写的比较乱，主要就是记录一下自己的学习过程）今天看了两个论文，一个是发表在顶会的对论文的分析，主要是从病毒的传播上来进行分析，简单分析了一些流量的特征；另一个是硕士的毕业论文，对源码进行了稍微全面的分析。文章[1]是对这个病毒的源码分析，但是他图中就写的不对，他是说loader对服务器进行爆破，实际上应该是病毒进行爆破，而loader承担的是收到已经爆破达到的用...

20200805 -引言原版的mirai病毒，通过交叉编译的过程可以生成多种架构的二进制文件；但是他并没有说明如何来配置这个环境；不过在文章[1]中，提到了如何进行交叉编译，先下载相应的二进制文件，然后在实现编译过程。不过，我这里的一个需要不用这么复杂，也是需要编译出来一个32位的ELF文件。问题介绍在逆向32位ELF文件过程中，希望能自己测试反编译出来的伪源码（IDA PRO F5得到），但是64位的程序很多都不匹配，所以需要编译32位的程序，命令参考文章[2]提供。gcc -m32 test.