![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
软件安全
文章平均质量分 90
HadesW_W
软件安全行业,游戏安全,病毒,反病毒,逆向,破解
展开
-
病毒分析之“驱动人生”挖矿木马分析及其清除方案
“驱动人生”挖矿木马分析及其清除方案0x00 概述自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...原创 2019-11-01 11:06:32 · 10817 阅读 · 0 评论 -
Dll注入技术之驱动注入
Dll注入技术之驱动注入0x0 技术简介实现环境系统:Windows 7 64bit工具:VS+WDK驱动注入我这里驱动注入的技术是:采用驱动向目标进程插入APC执行LdrLoadDll函数加载Dll模块。可以注入64位Dll到64位进程或注入32位Dll到32位进程。暂时没有实现跨位数。APC(异步过程调用)是一种内核机制,它提供了一种在特定线程上下文中执行定制例...原创 2019-01-04 18:56:12 · 15799 阅读 · 5 评论 -
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)0x0病毒概况撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。撒旦病毒通过大量漏洞利用工具,扫描入侵主机。成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。0x1恶意行为1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件...原创 2018-10-31 17:08:43 · 2959 阅读 · 8 评论 -
病毒分析之伪装360主动防御病毒分析_XiaoBa-20
病毒分析之伪装360主动防御病毒分析_XiaoBa-20样本概况说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm文件: C:\Users\Hades-win7...原创 2018-08-20 16:31:13 · 888 阅读 · 0 评论 -
Dll注入技术之劫持注入
Dll注入技术之劫持注入测试环境系统:Windows 7 32bit工具:FileCleaner2.0 和 lpk.dll主要思路利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.引用网络中的原理讲解●背景知识●首先我们要了解Windows为什么可以DLL劫持呢?主要是因为Windows的...原创 2018-06-28 17:45:23 · 18504 阅读 · 2 评论 -
病毒分析之Virut病毒感染样本分析(setup.exe)
病毒分析之Virut病毒感染样本分析(setup.exe)样本概况文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe大小: 369664 bytes文件版本:8.0.50727.42 (RTM.050727-4200)修改时间: 2014年4月21日, 11:18:00MD5: E29DAE6188A0B0BB797C42F68D8DFA...原创 2018-07-16 15:19:15 · 7402 阅读 · 3 评论 -
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...原创 2018-07-16 14:54:26 · 3026 阅读 · 0 评论 -
Dll注入技术之远程线程注入
Dll注入技术之远程线程注入测试环境系统:Windows 10 64bit注入目标: win7 64bit 计算器(这个软件用着习惯,所以我从win7上拷贝到win10上了)主要思路:1.使用进程PID打开进程,获得句柄2.使用进程句柄申请内存空间3.把dll路径写入内存4.创建远程线程,调用LoadLibrary5.释放收尾工作或者卸载dll主要函数://打开进程HANDLE WINAPI Op...原创 2018-04-25 21:23:49 · 10210 阅读 · 6 评论 -
纯手写简单PE
纯手写简单PE环境:Windows 10010EditorLoadPE(查看写的是否正确,文中并没有截图)目的:使用十六进制编辑器(010Editor)手写一个可在Windows10上运行的只弹出MessageBox对话框最简单的exe程序1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e...原创 2018-04-17 22:11:09 · 1470 阅读 · 0 评论 -
溢出漏洞原理及利用(3)
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!接上一篇溢出漏洞原理及利用适用性更强的MessageBox适用性更强的MessageBox之前我们写的MessageBox,是直接在调试器中找到的地址.当模块使用动态加载基址的时候,我们重启系统或者在其他机器上运行的时候,函数地址就改变了. 为了程序在其他系统通用,需要动态...原创 2018-04-15 22:03:06 · 1142 阅读 · 0 评论