恶意软件样本行为分析——灰鸽子和大白鲨

最新推荐文章于 2025-03-12 11:56:22 发布
最新推荐文章于 2025-03-12 11:56:22 发布
阅读量2k 收藏 33
点赞数 28
分类专栏: 软件安全 文章标签: php 服务器 网络 网络安全 安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49816179/article/details/135142787
版权
本文详细描述了一次实验,通过ProcessMonitor和Wireshark分析灰鸽子木马的行为,包括文件操作、注册表修改和网络通信,同时介绍了清除方法。实验涉及技术包括监控工具、VMware配置和木马分析实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.1 实验名称

恶意软件样本行为分析

1.2 实验目的

1)     熟悉 Process Moniter  的使用

2)     熟悉抓包工具 Wireshark  的使用

3)    VMware  的熟悉和使用

4)     灰鸽子木马的行为分析

1.3 实验步骤及内容

第一阶段:熟悉 Process Moniter 的使用

利用 Process Moniter  监视 WinRAR  的解压缩过程。

利用 Process Moniter  分析 WinRAR  的临时文件存放在哪个文件夹中。

WinRAR  压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Moniter  分析上述两种方式的异同点。

第二阶段:熟悉抓包工具 Wireshark 的使用

熟悉 Wireshark  软件的使用,着重掌握 Wireshark  的过滤器使用。

使用 Wireshark  抓取登录珞珈山水 BBS  的数据包,并通过分析数据包获得用户名和 密码。

第三阶段:VMware 的熟悉和使用

着重掌握 VMware  的网络设置方式,主要有 NAT  连接、桥接和 Host-Only  模式。 配置自己的木马分析环境。

第四阶段:灰鸽子木马的行为分析

熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。

利用 Process Moniter  监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark  监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段:思考与实践

尝试对大白鲨木马或 PCShare  木马进行行为分析。

1.4 实验关键过程、数据及其分析

1.4.3 灰鸽子木马制作

首先准备实验环境,一台 Win2003 作为木马受害机,一台 WinXP 作为黑客机。将两台 主机的网络适配器设置为桥接模式,则两者(还有真实机)之间可以互相 ping 通。

接下来打开灰鸽子程序,点击配置服务程序,可以人为地选择生成的漏洞发 送给目标主机。配置的第一步是将黑客机的 ip 地址作为目标机将要连接到的地 址。

可以在安装选项里进一步设置。一般来说,黑客会将启动项设置中的显示名 称和服务名称尽可能设置得像 Windows 中真实的服务,这里为了实验方便取名为 test_1024 并将生成程序保存到桌面。

接下来通过共享文件夹的方式将该木马发送到目标机,在目标机中双击运行。

在黑客机中就可以看到目标机 SHIMISI 上线,并且可以读取该主机中所有文 件。

此外,我们还可以在黑客机中对目标机进行屏幕截获,甚至还可以点击左上 角从而对鼠标和键盘进行操作。

1.4.4 灰鸽子木马的行为分析

在这一部分中我们将利用 Process Monitor  Wireshark 监控感染灰鸽子木马的被控端 的文件行为和注册表行为。

首先在 Process Monitor 中过滤包含“灰鸽子 ”的进程,发现有大量对注册表的操作。

右键选择 Jump to 可以使用注册表编辑器查看程序对哪些注册表进行了修改。 在其中可以找到与灰鸽子有关的注册表文件 GrayPigeon_Hacker.com.cn,它会  为灰鸽子程序的启动运行进行一些基础的配置。

接着打开 Wireshark 分析灰鸽子的网络流量。因为灰鸽子下,黑客机和受控 机之间的通信方式是 TCP,所以将 TCP 作为条件进行过滤。可以得到许多黑客机 (ip:10.201.97.73)和受控机(ip:10.201.97.58)之间的通信,尤其是在捕 获屏幕的时候。

接下来尝试清除灰鸽子木马。由于灰鸽子默认使用的是 EXPLORER.EXE 作为    隐藏进程 ,打开 Process Monitor 进行检测 ,可 以看到运行着大量的

EXPLORER.EXE 进程。

在任务管理器中结束进程。

进入系统 C 盘目录,搜索服务端程序,并删除该服务端程序。

再次打开黑客机的灰鸽子界面, 可以发现此时受控机 SHIMISI 已经下线,重新启动受

控机也不会再自动上线。

1.4.5 思考与实践

尝试对大白鲨木马进行行为分析,打开大白鲨木马主界面如下。

木马配置方式与灰鸽子类似。

配置完成后在受控机中安装,打开黑客机机客户端,发现受控机上线成功。

使用 Process Monitor 监控木马进程,可以看到大白鲨同样也是系统盘复制了客户端程序。

使用 Wireshark 对大白鲨木马进行抓包,同样发现其采用的也是 TCP 协议。

清除大白鲨木马的方法与清除灰鸽子类似,由于已知大白鲨的注入程序是 USERINIT.EXE。打开进程管理器,找到一个名叫 user in it 的进程,将其结束即 可。

回到黑客机服务端发现已经找不到受控机了。

1.5 实验体会和拓展思考

这里值得说的一点就是大白鲨默认使用的是 8090 端口,而之前我已经用 8090 端口配置过其他任务。这里记录解除端口的可行办法。

1、查看端口号的占用情况命令:netstat -n  netstat -ano;

2、如果想要查找特定的端口,可以输入并回车执行 netstat -aon |findstr “8090 ”,即为查找端口号为 80 的信息。

3、查看 pid 所对应的服务:tasklist|findstr 3304;

4、关闭该服务,解除端口占用:

恶意软件样本行为分析——Process MonitorWireshark_process monitor抓包
2401_84267735的博客
05-02 100
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Monitor 分析上述两种方式的异同点。第二阶段:熟悉抓包工具的使用熟悉 Wireshark 软件的使用,着重掌握 Wireshark 的过滤器使用。使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包获得用户名 密码。的熟悉使用。
恶意软件样本行为分析——Process MonitorWireshark_process monitor抓包(1)
2401_84264583的博客
04-29 688
恶意软件样本行为分析实验目的2) 熟悉抓包工具 Wireshark 的使用3) VMware 的熟悉使用4) 灰鸽子木马的行为分析实验步骤及内容第一阶段:熟悉的使用利用 Process Monitor 监视 WinRAR 的解压缩过程。利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。
process monitor解决网络问题一则
humors221的专栏
08-04 1021
测试环境:windows10 今天,我的防火墙程序,把windows defender的病毒库更新给屏蔽了,无法更新了。于是,找出process monitor,首先把工具栏最后五个图标(从左往右,注册表,文件系统,网络,进程线程,资料搜集)的网络选中,其它取消选中;接着点击工具栏蓝色三角形的filter按钮,下拉从左往右选中输入为,command line,contains,Msascui. exe,include,点击add,点击ok;接着打开windows defender,点击更新;接着,查看pr
恶意软件自动分析工具malheur
05-25
Malheur是一个自动化的恶意软件分析工具,它在沙箱(sandbox)中记录恶意软件的程序行为。开发Malheur的目的除了支持常规意义 上的恶意软件行为分析,还有就是关注恶意软件检测防范方法的发展。Malheur能够识别具有类似行为恶意软件,还能够发现未知的恶意软件。 Malheur 支持检测报告自动生成,报告格式类似于流行的恶意软件沙箱CWSandbox,Anubis,Norman,Sandboxjoebox。
恶意代码分析实战:熊猫烧香病毒样本分析,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
03-12 911
在这里我们利用逆向界的倚天剑屠龙刀,IDAOD来对熊猫烧香进行逆向分析,对其内部实现的原理有个了解,因为篇幅关系不会对整个程序彻底分析,而是挑拣一些重要内容进行分析。有兴趣的可加QQ群:1145528880 (一起学习 逆向、PWN二进制安全Web信息安全、IoT安全、游戏逆向分析原理交流)
恶意软件样本行为分析——灰鸽子为例
dengdouweng1282的博客
05-19 2218
第一阶段:熟悉Process Moniter的使用 利用Process Moniter监视WinRAR的解压缩过程。 设置过滤器:进程名称 包含 winrar.exe。应用。 打开Process Moniter的状态下进行如下操作: 创建新建文本文档,内容为学号+姓名。 添加到压缩文件。 解压。 同时观察Process Moniter。 压缩时: ...
灰鸽子2007分析报告
weixin_33980459的博客
02-26 165
病毒名:Win32.Hack.Huigezi.jn 处理时间:2007-02-26 威胁级别:★★ 中文名称:灰鸽子2007 病毒类型:***程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 这是一个***后门,中毒后病毒在后台连接远程***主机,使用户主机完全受控于***,***甚至可以查...
自己动手搭建恶意软件样本行为分析环境(一)
Magicbreaker的专栏
12-11 1638
互联网的飞速发展在给用户的日常工作生活带来了巨大方便的同时,也给各种各样的恶意软件提供了一片繁衍扩散的沃土。媒体上时有关于某种恶意软件大规模流行造成严重损失的报道。恶意软件的扩散早已引起信息安全业界的重视,各安全软件杀毒软件厂商都有成型的解决方案。不过恶意软件的更新换代总是走在安全厂商的产品前面,恶意软件变种的出现速度越来越快,单纯使用防杀毒软件已不能完全保证用户远离恶意软件。本文提出一个分析W
恶意软件样本行为分析——Process MonitorWireshark
weixin_49816179的博客
12-21 2066
介绍了Process MonitorWireshark的基本使用。
自己动手搭建恶意软件样本行为分析环境(二)
Magicbreaker的专栏
12-11 1626
 样本分析实例样本是一个伪装成wmv媒体文件的可执行文件,如图:498)this.style.width=498;" border=0>它使用了wmv文件的图标,由于Windows默认不显示已知文件的扩展名,因此目标样本的真实名字是WR.wmv.exe。分析流程:1)测试环境做一个恢复用的快照(Snapshot),使用体机的测试环境可以用Ghost来达到相同目的。2)依次启动Install
恶意软件分析实战02-分析3个恶意程序
輚至消亡
07-15 1623
1. Lab03-01 vt上一搜发现鉴别为恶意软件。 拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode。 我好气,脱了我一个多小时没脱下来。想想算了,题目要求也就是分析它的行为。 打开Promon检测一下。发现了大量注册表文件操作: 对比下注册表的变化, 发现了该软件有添加自启动行为 查询一下内部的字符串, 果然如此: 其内部还发现了一个网站。推测这个名为vmx32to64.exe的程序可能从该网站下载下来或者是自身改...
灰鸽子分析报告
magictong的专栏
02-22 5887
灰鸽子分析报告           magictong 2012/2      一、样本基础信息     MD5:cf6d4d8250e4ba8b5fe87fa4eb940ea8     大小: 300,703 字节     文件名:999.v          壳信息:NsPack     解壳后信息:Borland Delphi 6.0 - 7.0     其它
灰鸽子
是叶子终要回归大地,是爱情总会沉入海底。
03-16 968
      现在看来灰鸽子金山是否弄的不可开交了,也不知道金山是有点夸张还是灰鸽子太过分了,金山竟然用了一个版面(http://www.duba.net/zt/huigezi/)来对付灰鸽子,列举了其各种罪状,摆出一副不干倒灰鸽子誓不罢休的态度。呵呵,我也来凑个热闹,整理了一些关于灰鸽子的资料,希望能给正在了解灰鸽子的人做个参考。       一:灰鸽子运行原理及解决办法     灰
网络安全】目前看到最全的恶意软件分析大合集
roshy的专栏
10-12 6897
目前看到最全的恶意软件分析大合集   在全球中国是受恶意软件影响比较大的国家之一。根据相关报告显示,亚太地区是受到僵尸网络影响最大的地区,同时受到勒索、欺诈等恶意软件的影响也特别靠前;根据2016年360互联网安全中心监测的报告显示,在2016年用户手动放行恶意软件500余万次,涉及恶意软件样本3万余个,平均每个此类恶意软件样本可以成功攻击160余台普通个人电脑。   虽然由于免费安全软...
【Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”
移动安全研究和Android/iOS/小程序隐私合规
03-13 6577
百度安全实验室最近发现了一款“应用传送门”病毒,该病毒架构设计简单灵活,完全实现了恶意代码的云端控制、插件化动态可扩展。该病毒伪装成系统服务,且没有桌面图标,不易发现。该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码,从目前监测到的恶意插件来看,下载的插件存在以下恶意行为: 1、 静默下载安装其它恶意程序。 2、 静默下载安装其它推广应用。
灰鸽子病毒大全
edison20的专栏
11-11 1030
http://www.enet.com.cn/security/zhuanti/huigezi0315/好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 好强悍~~~~ 
灰鸽子真相大揭底
weixin_34236869的博客
03-14 278
灰鸽子,一个自诞生以来,就被各杀毒厂商一致喊打的***程序,尽管其作者在软件许可中辩称自己是远程管理软件。“三尺长的大砍刀,刃上带锯齿,边上有血槽,刀柄里藏着几十发暴雨梨花针,还随刀附送淬毒所需全部材料设备,现在贴个标拿出来卖,说自己是菜刀,你还真有才~~~~”这是网友对灰鸽子2007的评价2007年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作:编辑注册表;上...
灰鸽子的原理
hackerwe的专栏
03-06 946
服务器装有杀毒软件,并处在监制状态. 想上传成功必须双方都关了杀毒软件.灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工
恶意软件样本:WannaCry、CTB-Locker、Cerber分析指南
根据文件信息,我们需要详细说明的知识点包括WannaCry、CTB-LockerCerber这三个恶意软件样本的特点、操作注意事项以及恶意软件分析的一般性原则。以下是对这三个恶意软件的详细解读。 ### WannaCry **特点描述:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值