一个简单的监控木马分析

最新推荐文章于 2021-12-04 21:42:08 发布
最新推荐文章于 2021-12-04 21:42:08 发布
阅读量628 收藏 2
点赞数 1
文章标签: 数据库 移动开发
原文链接:http://www.cnblogs.com/bingghost/p/5819714.html
版权
很老的一个样本,简单的分析下练手
样本地址:
链接:http://pan.baidu.com/s/1hrEO212 密码:j2ul

一.样本概述
样本主要行为:


该样本主要是窃取目标用户的短信,联系人,手机相关信息的App程序

程序安装后伪装成移动客户端


运行后需要激活设备管理器,防止被设备管理器删除



二.详细分析流程
1. 程序启动


2. 激活设备管理器

在低版本Android系统(小于4.0.3)激活设备管理器后会导致App通过设备管理无法删除



2. 解密配置信息
通过des解密后写配置信息
key为staker
还原后代码如下:

会生成一个明文的配置文件:

该程序的主要功能就是配置文件的所描述的信息


3.发送软件安装成功的短信到远程手机号
发送短信内容:
"软件安装完毕\n识别码:868331018161094\n型号:HUAWEI U9508 \n手机:Huawei \n系统版本:4.1.1" 至 13482173247 发送短信内容 "62147483647" 
至 13482173247

4. 启动的邮件任务会发送用户的敏感信息到指定邮箱
用户的敏感信息包括:
          短信
         联系人
发送的目标邮箱就是上面解密的邮箱

遍历所有短信:


获取所有联系人


发送所有短信息到指定邮箱


发送联系人



5.   设置情景模式为静音
4.1版本以及以后已弃用setVibrateSetting



6. 开机启动后立即启动服务




7. 当收到的短信是自己的号码,则操作配置信息和相关的数据库操作


短信操作和之前的操作类似

数据库相关信息如下(这是他自己建的一个数据库):
创建数据库
CREATE  TABLE IF NOT EXISTS intercept_person( 
        \'id\' INTEGER PRIMARY KEY AUTOINCREMENT, 
        \'modified_time\' DATETIME DEFAULT (null), 
        \'created_time\' DATETIME, 
        \'number\' VARCHAR(40), 
        \'name\' VARCHAR(40))" 

数据库路径:
/data/data/com.phone.stop/databases/phone_database  


病毒分析的一般流程:
1. 使用行为监控软件进行大致行为监控
        文件操作
         网络操作
         数据库
         .....
         针对不同平台的特点有针对性的进行监控

和Android相关的一些行为监控工具
zjdriod
Inspeckage  基于xpose

在线文件监控网站
火眼(金山)

哈勃(腾讯)

文件B超(瀚海源,阿里巴巴)

VirusBook

joesandbox

病毒在线扫描网站

2.动静态结合对样本分析
     根据上面的监控流程,有针对性的对病毒样本进行分析
 
    主要确定样本的危害性
     最终给出查杀方案
 
       





转载于:https://www.cnblogs.com/bingghost/p/5819714.html

weixin_30458043
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
远程控制木马"偷窥者"的源代码 - -兰大开源社区blog
xu的blog
10-09 7876
导读: 刘东发(http://www.codelive.net)的杰作--------远程控制木马"偷窥者"VC6.0编译通过。2001年是中国的木马大丰收的一年.  首先是灰鸽子的诞生.灰鸽子早期版本开放源代码,灰鸽子的作者葛军(俺安徽的老乡,呵呵可不是拉关系),开始还倒不错,开放了源代码,后来功能齐全后,葛军开始翻脸了,不但不公开源代码,还收费.灰鸽子是delphi版的,本人愚
网站被系统入侵监控扫描到木马以后如何恢复网站
最新发布
wwwwestcn的博客
04-19 447
3.如暂时无法修复程序漏洞,可以通过我司提供的安全做临时的安全防范:首先通过文件管理中的“权限设置”功能把整站wwwroot文件设置为只读;如果您是自己程序,请分析当天web日志,基本都可以找到具体问题。1.如果是上传的webshell病毒木马文件,系统已经自动改名为.bak后缀文件,您请核实后可以直接删除。2.如果是在原有正常文件写入了挂马内容,请核对原始文件清理掉写入的挂马内容,或者用原始文件覆盖。这可能是没有解除成功,或者目录只读,可以点击“目录保护”。,若有疑问,可以提交工单。
VC++ 远程控制 屏幕监控 (传说中的木马)
djimon的专栏
01-10 5627
传说中的木马 自已做出来 真的很爽快的感觉 一直都很疑惑,怎么可以控制其它人的机器,这吓好了,SOCKET加屏幕截图功能实际远程控制 ////.h #pragma once #include #pragma comment(lib,"ws2_32.lib") class SDKWind { public: //struct struct SKey{ int typ
简单易用的系统分析工具
09-23
"最简单易用的系统分析工具"这一标题暗示我们讨论的是一个设计简洁、操作简便的软件,旨在为用户提供全面的系统信息,帮助他们了解系统运行状况、优化性能以及保障安全。 系统分析工具通常具备以下关键功能: 1. *...
处理木马工具20151208
12-08
总之,“处理木马工具20151208”可能是一个高效且易于使用的木马清除工具,具备多种功能来保障用户电脑的安全。使用时,用户应注意更新软件以保持最佳的防护效果,并结合良好的网络习惯,如避免点击不明链接、不随便...
木马间谍克星 V1.80
01-24
静态分析: 间谍克星全面检测可能被间谍木马...在您访问受屏蔽的恶意网站时,《木马间谍克星》会提醒您这是一个恶意站点,由您决定是否继续访问,从而在源头上杜绝了木马间谍程序的入侵,保证您的电脑信息资料的安全
注册表监控工具RegSnap
10-07
因此,对注册表进行监控对于系统维护、故障排查以及病毒木马分析至关重要。RegSnap是一款专业的注册表监控工具,它能帮助用户轻松跟踪和比较注册表的变化,从而更好地理解系统的运行状态。 ### 1. RegSnap的功能...
VB实现网页木马
07-10
1.剖析网页木马的工作原理 2.理解木马的植入过程 3.学会编写简单的网页木马脚本 4.通过分析监控信息实现手动删除木马
服务器木马监控器,查杀网页木马木马文件实时监控
05-30
软件可以帮助你实时了解服务器上的网站实时情况,比如哪个网站的源文件被修改,哪个网站的根目录被上传了木马,哪个网站被删除了文件等等,一目了然。是你管理web服务器的好帮手
键盘监听木马病毒原理
DearXuan的博客
08-29 2977
病毒表现 键盘监听病毒在网吧中非常流行,它在启动后会监听用户的键盘输入事件,如果有人使用账号密码登录,那么他所按下的每一个键都会被记录下来,被发送给别有用心的人。再通过两次按键的时间差,或者根据回车、tab这些标志性按键,就可以大致推断出账号和密码。 原理分析 该病毒能够记录所有窗口的输入事件,因此基本可以确定是用了键盘钩子。钩子函数会在事件发生后第一时间收到通知并处理。这样无论用户输入了什么,病毒总能第一时间记录。 Qt实现 由于程序的特殊性,不提供完整代码和源文件。 首先注册全局键盘钩子
详细讲解黑客常用的远程控制木马
热门推荐
yakoo5的专栏
11-26 2万+
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}-->  Normal 0 7.8 磅 0
浅谈远控木马
systemino的博客
07-05 1万+
远控木马这个词说起来总觉得很有年代感,作为一枚安全行业菜鸟,最初的启蒙就是分析各类远控的被控端,从行为到流量去了解这一类恶意代码的发展变化。网上对于远控木马分析比比皆是,因此本文从个人的角度出发,总结了一下对于远控木马的一些理解,可能有所欠缺,欢迎交流学习。 从控制端熟悉远控木马的功能 在最早接触到远控木马的时候,我大概使用过上百种远控软件的客户端,要了解一个远控木马的功能,最直接的方式就是...
一个简单木马程序分析
weixin_47633814的博客
12-04 2859
目录Mini木马的基本原理 Mini木马的基本原理 Mini木马作为早期的远程控制类木马,基本工作原理是基于TCP的Socket技术,
关于安卓“微信盗号木马”监测处置情况的通报
weixin_34303897的博客
04-10 714
近日,国家互联网应急中心(以下简称“CNCERT”)收到中国反网络病毒联盟(以下简称“ANVA”)成员单位“猎豹移动”报送的安卓“微信盗号木马”程序,第一时间开展分析验证和监测处置工作,现将相关情况通报如下: 01 基本信息 此病毒程序安装后无图标,在已安装程序列表中可以看到“wallpapercropper”或者“supersu”的图标; “微信盗号...
简单的下载者木马分析
abcd8080的博客
07-29 362
算是第一次自己分析一个完整的木马,时间花费很长释放的dll还没来及分析后面会跟上。好多api都是刚刚查过才知道。很简单大家不要吐槽啊。附件里面有idb和原文件 还有脱壳后的文件。欢迎大家批评指教 附件:http://bbs.pediy.com/showthread.php?p=1090998#post1090998 基本信息 报告名称:ye.exe下载者木马分析...
用html写一个旋转木马
05-20
以下是一个简单的旋转木马的 HTML 和 CSS 代码示例: HTML: ```html <div class="carousel"> <div class="item"><img src="img1.jpg"></div> <div class="item"><img src="img2.jpg"></div> <div class="item"><img src="img3.jpg"></div> </div> ``` CSS: ```css .carousel { position: relative; width: 80%; margin: auto; height: 400px; overflow: hidden; } .item { position: absolute; top: 0; left: 0; width: 100%; height: 100%; opacity: 0; transition: all 1s ease; } .item.active { opacity: 1; } .item.next { transform: translateX(100%); } .item.prev { transform: translateX(-100%); } .carousel .item img { width: 100%; height: 100%; object-fit: cover; } .carousel .controls { position: absolute; bottom: 20px; left: 50%; transform: translateX(-50%); display: flex; justify-content: center; align-items: center; } .carousel .controls button { border: none; background: transparent; font-size: 24px; color: #fff; margin: 0 10px; cursor: pointer; outline: none; } ``` JavaScript: ```javascript var items = document.querySelectorAll('.item'); var controls = document.querySelectorAll('.controls button'); var current = 0; function initCarousel() { items[0].classList.add('active'); controls.forEach(function(control) { control.addEventListener('click', handleControlClick); }); } function handleControlClick() { if (this.classList.contains('prev')) { current--; if (current < 0) { current = items.length - 1; } } else { current++; if (current > items.length - 1) { current = 0; } } updateCarousel(); } function updateCarousel() { var prev = current - 1; if (prev < 0) { prev = items.length - 1; } var next = current + 1; if (next > items.length - 1) { next = 0; } items.forEach(function(item) { item.classList.remove('prev', 'active', 'next'); }); items[prev].classList.add('prev'); items[current].classList.add('active'); items[next].classList.add('next'); } initCarousel(); ``` 这是一个基本的旋转木马,它使用 CSS 过渡效果和 JavaScript 来实现轮播。在 HTML 中,我们创建了一个包含图像的 div 元素,并将其包装在一个具有 carousel 类的 div 元素中。然后,我们使用 CSS 将其设置为相对定位,并将其宽度设置为 80%,高度设置为 400px。此后,我们使用 overflow: hidden 隐藏溢出的元素。 接下来,我们为每个图像创建了一个 div 元素,并将其设置为绝对定位。然后,我们使用 opacity: 0 将其隐藏,并使用过渡效果将其设置为所有属性的动画效果。我们还为当前活动的图像添加了 active 类。 在 JavaScript 中,我们选择所有图像元素和控制按钮,并为每个按钮添加了一个点击事件处理程序。我们还创建了一个变量 current,用于跟踪当前活动的图像。 在 initCarousel 函数中,我们将第一个图像设置为活动状态,并将点击事件处理程序添加到所有控件按钮上。 在 handleControlClick 函数中,我们确定用户点击了哪个按钮,并相应地更新 current 变量。然后,我们调用 updateCarousel 函数,它将根据 current 变量更新图像。 在 updateCarousel 函数中,我们确定前一个和下一个图像,并将相应的类添加到每个图像元素中。我们还删除了 prev、active 和 next 类,以确保每个图像只有一个类。 最后,我们调用 initCarousel 函数以启动旋转木马

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值