Trojan.Backdoor分析

最新推荐文章于 2021-03-29 08:17:41 发布
最新推荐文章于 2021-03-29 08:17:41 发布
阅读量386 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/cqubsj/p/6617779.html
版权

总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING.

此五种分别对应的行为是:睡眠指定时间, 连接远程服务器得到内容并保存到本地, 从本地文件读取内容发送到远程服务器, 在本机上执行CMD命令并将结果发送到远程主机, 什么都不做

使用peid查看:

用IDA分析:

下面开始标志位检测, 使用了fs:[0x30]得到了PEB地址,

之后判断processheap中的某个标志:

再之后找到NtGlobalFlag,必须不为0x70:

接下来判断参数个数,根据参数个数不同进行不同操作:

如果参数是一个,那么走左边,否则右边.

左边:调用sub_401100:

在sub_401100中,再次执行了上述的三个判断,过了之后,打开注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS: 注意Microsoft后有空格

调用成功之后访问名为"Configuration"的项的值

此API成功后返回ERROR_SUCCESS(0)

所以成功后sub_401100返回1,否则返回0

继续:

loc_4035cb调用了:

进入sub_402c40中后:

再次重复了那三个标志位检测,之后:

此循环就是左边支路的最后一个循环,如果这里退出了,那么此次程序执行结束.

可以知道sub_4014B0和sub_402880必须返回0,那么这个循环才能继续下去

 

进入sub_4014b0:

同样地进行了三个标志位的检测:之后打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS

访问configuration的值, 值存储在局部数组中,之后把这个值分部分拷贝到a1,a3,a5,a7处,猜想这个值之间有3个空格,那么分成四段,就刚好解析:

设4段值为XX YY ZZ KK

那么接下来的调用就是:

说明kk应该是秒数的字符串,用于指定线程睡眠时间

进入sub_402880后再次进行了标志位检测,之后:

在sub_402650中,v14得到了一个字符串,这字符串用于后边的比较,

可以看出这字符串是个命令,用于选择执行恶意代码:

命令有:SLEEP,UPLOAD,DOWNLOAD,CMD,NOTHING

v14使用了strtok来分割字符串,例如sleep时字符串应该是

"SLEEP 10"

这样v2就是10,atoi将v2转换成整数传入sleep实现了睡眠,同理

UPLOAD命令的格式应该是:UPLOAD port filename

DOWNLOAD命令的格式应该是:DOWNLOAD port filename

CMD命令的格式应该是: CMD port command

上述分隔符asc_40c0d8是一个unicode的空格, asc_40c0bc是一个unicode的"`"符号

 

接下来走右边

v10是传入的最后一个参数,sub_402d70必须返回非零

进入sub_402d70:

可以知道最后一个参数长度为4,第一个字节的值为97(a),第二个字节的值为98,第三个字节的值为99,第四个字节的值为100, 转换成字符就是abcd,所以最后一个参数必须是abcd

接下来相当于参数1的switch:

如果字符串相等那么_mbscmp返回0,依据这逻辑,最内层括号内应该是argv[1]为"-cc"的情况:

此时参数个数必须为3.

之后调用sub_4014b0从注册表中获取配置字符串并解析

:之后调用sub_403939按格式

aKSHSPSPerS     text "UTF-8", 'k:%s h:%s p:%s per:%s',0Ah输出到控制台

 

如果argv[1]是"-c",那么参数必须有7个

进入sub_4011D0:

这段代码将argv[2]~arg[5]拼成一个字符串并将注册表中的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS中Configuration的值设置为拼好的数据.

也就是说-c命令是设置配置的.

如果argv[1]是-re,那么

当参数是3个的时候,此时argv[0]是EXE名,argv[1]是-re,argv[2]是abcd

之后进入sub_402e70:

获取了当前模块完整路径文件名,并将文件名分离出来放入a1中,也就是v8

之后进入sub_4032c0, 这个模块主要就是删除指定服务,删除文件,将其完全移除.

如果参数是4个,那么argv[2]是要移除的服务名

 

如果argv[1]是-in,那么

当参数是3个,也就是没有指定服务名时,获取模块文件名作为服务名;否则使用指定的服务名来创建服务. 服务名后连接上' Manager Service'

于sub_402f40中, 并将自身拷贝到system32目录下, 初始化configuration的值...

所以-in是安装此恶意程序.

 

转载于:https://www.cnblogs.com/cqubsj/p/6617779.html

weixin_30561177
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Backdoor.Trojan专杀工具
larry的专栏
07-25 2万+
1.泄露机密数据:用户的击键会被记录下来发送给黑客;          2.危及电脑安全:允许未授权用户访问存在后门的电脑。          技术特征:          这是一个典型的后门程序,能让远程黑客畅通无阻的任意访问受害用户的电脑。          运行后,它会:          1.将自身拷贝至%Windows%文件夹下,文件名因不同版本而不同,黑客可选择任意文件名来创建该后门木
木马 --- 基本概念和分类
热门推荐
daibaohui的博客
02-20 4万+
木马全称为特洛伊木马,来源于古希腊神话。木马是通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。 具有远程控制、信息窃取、破坏等功能的恶意代码 木马具有如下特点: 欺骗性 木马都有很强的欺骗性,执行通常都由被攻击者自己执行起来的 隐藏性 非授权性 执行恶意操作是没有经过用户授权的 交互性 主机之外的攻击者可以通过某种方式对主机进行交互 接着分享木马的分类,不同视角有不同的分类。 1.行为视角 粒度细,如卡巴斯基SafeS.
WebShells:Webshel​​l漏洞注入列表
05-12
#History这是PHP脚本后门的列表,允许攻击者破坏网站并获得对数据库和敏感目录的完整访问权,基本上是PHP Backdoor Web应用程序Trojan,它可以完全入侵任何网站并获得完整的数据库。 #仅用于教育目的。
backdoor后门
04-02
4. **RAT(Remote Access Trojan)**:即远程访问木马,具有远程控制功能,可以监视、控制受害者计算机。 #### 四、Backdoor后门的工作机制 - **植入阶段**:攻击者通过各种手段将后门程序植入目标系统,常见的...
AnalysisScript:用于恶意软件分析的脚本列表
05-16
Gen4字符串解密器Backdoor.Miniduke!gen4 Trojan.Netweird记录的密钥解密器 分析感染Trojan.Ransomlock.AP(Trojan.Ransomlk.AP!inf)的Advapi32.dll系统DLL Trojan.Swifi Shellcode解密器 Trojan.Netduke-...
怎样对付黑客程序.pdf
12-24
《怎样对付黑客程序》是一篇讲述如何防御黑客程序的文章,文章中提到了许多恶意软件的名称,如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等,并解释了这些病毒的来源和危害。同时,文章还提供了一些实用的方法来...
计算机病毒的分类.doc
12-22
病毒命名通常遵循一定的规则,由病毒前缀、病毒名和变种特征组成,例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等。病毒前缀表明病毒类型,如Trojan代表木马,Worm代表蠕虫。病毒名标识家族特征,变种特征用于...
php下批量挂马和批量清马代码
10-28
批量挂马和批量清马程序PHP版,所以黑客工具的对立性,在黑客手里是破坏工具,在维护的站长来说是修正工具。
彩虹桥木马程序backdoor.win32.bifrose.gel查杀
weixin_30646505的博客
01-01 774
彩虹桥木马摘要 彩虹桥木马是使用vb编写的后门程序,由微点主动防御软件自动捕获,未加壳,样本长度为“421,376 字节”,图标为“”,使用“exe”扩展名,通过“诱骗用户点击”、“文件捆绑”等途径植入用户计算机 彩虹桥木马主要功能可盗取文件,窃取密码、记录键盘、摄像头录像,使用户隐私完全暴露于病毒种植者,沦陷为傀儡主机 彩虹桥木马分析 该样本被执行后, 将修改注册表,映像劫...
backdoorphp.webshell.ad后门病毒怎么办?
小戴站长_一个关于互联网知识的博客
03-29 4518
近日在备份数据的时候,杀毒软件火绒突然爆此文件有病毒backdoorphp.webshell.ad后门病毒,病毒信息为当时在想,又没有做什么怎么会有病毒?后来发现,原来是数据库被写入病毒导致的。只能去搜索哪个表被写入病毒。挨个去查找,只不过需要费点时间罢了。 ...
BackDoor
a1b2c3是弱口令
08-08 1648
题目: 下载数据包,发现有菜刀连接的痕迹。 怎么知道的,看数据包吧。追踪tcp流发现连接的痕迹。 右键,追踪tcp流,发现两个加密后的字符串 对字符串进行base64解密,发现菜刀的特征字符: 解密后是这么一段特征字符: @ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'...
backdoor-factory详细使用教程
星落的博客
05-15 2万+
backdoor-factory简介 backdoor-factory是一款后门构建工具。与其他工具不同的是,他不会增加软件的大小,而是利用代码缝隙进行注入,免杀效果更好。 backdoor-factory下载 kali预装的有坑,应该从github下载。 运行命令: git clone https://github.com/secretsquirrel/the-backdoor-factory.git backdoor-factory常用命令 -h 查看帮助...
2018年金融业ctf竞赛 backdoor 流量数据分析writeup
qq_42773814的博客
08-08 3401
Backdoor   flag:flag{b3c4r3fortheChinaChopperFHGJKUI^U%}   解题过程: 利用wireshark打开文件,过滤http报文,任意选择一个报文右键选择追踪流->http流 追踪流里面包含大量16进制代码,观察前几位发现它是zip压缩文件的文件头 将z1后面的参数复制下来 以16进制形式粘贴到C32asm工具里 ...
Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2
Purpleendurer@CSDN
07-16 1513
 Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2endurer 原创2008-07-16 第1版(续1)log中的一些项目与 sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jp
Backdoor.Zegost木马病毒分析(一)
Fly20141201. 的专栏
12-27 5186
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32. Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E95
这一段讲的是什么:Abstract—A recent trojan attack on deep neural network (DNN) models is one insidious variant of data poisoning attacks. Trojan attacks exploit an effective backdoor created in a DNN model by leveraging the difficulty in interpretability of the learned model to misclassify any inputs signed with the attacker’s chosen trojan trigger. Since the trojan trigger is a secret guarded and exploited by the attacker, detecting such trojan inputs is a challenge, especially at run-time when models are in active operation. This work builds STRong Intentional Perturbation (STRIP) based run-time trojan attack detection system and focuses on vision system. We intentionally perturb the incoming input, for instance by superimposing various image patterns, and observe the randomness of predicted classes for perturbed inputs from a given deployed model—malicious or benign. A low entropy in predicted classes violates the input-dependence property of a benign model and implies the presence of a malicious input—a characteristic of a trojaned input. The high efficacy of our method is validated through case studies on three popular and contrasting datasets: MNIST, CIFAR10 and GTSRB. We achieve an overall false acceptance rate (FAR) of less than 1%, given a preset false rejection rate (FRR) of 1%, for different types of triggers. Using CIFAR10 and GTSRB, we have empirically achieved result of 0% for both FRR and FAR. We have also evaluated STRIP robustness against a number of trojan attack variants and adaptive attacks. Index Terms—Trojan attack, Backdoor attack
最新发布
07-24
这段摘要讲述了关于深度神经网络(DNN)模型的特洛伊木马攻击。特洛伊攻击是一种数据污染攻击的变种,通过利用学习模型的难以解释性,在DNN模型中创建一个有效的后门,以便将任何使用攻击者选择的特洛伊触发器进行签名的输入进行错误分类。由于特洛伊触发器是攻击者保护和利用的秘密,因此在模型处于活动运行状态时,检测此类特洛伊输入是一项挑战。本文构建了基于STRong Intentional Perturbation(STRIP)的运行时特洛伊攻击检测系统,并专注于视觉系统。我们有意地扰乱传入的输入,例如通过叠加各种图像模式,并观察给定部署模型对扰动输入预测类别的随机性-恶意或良性。预测类别的低熵违反了良性模型的输入依赖性属性,并意味着存在恶意输入-这是特洛伊输入的特征。我们通过对三个流行且对比鲜明的数据集(MNIST、CIFAR10和GTSRB)进行案例研究,验证了我们方法的高效性。在给定1%的预设误拒绝率(FRR)的情况下,我们实现了总体误接受率(FAR)小于1%。使用CIFAR10和GTSRB,我们在FRR和FAR方面实现了0%的实证结果。我们还评估了STRIP对多种特洛伊攻击变种和自适应攻击的鲁棒性。 关键词:特洛伊攻击,后门攻击。 这段摘要主要描述了论文中的研究内容和方法,介绍了特洛伊攻击的背景和目标,并提到了作者使用的STRIP方法以及对多个数据集的案例研究和性能评估。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值