一個有趣的白加黑样本分析

最新推荐文章于 2024-11-22 00:35:26 发布
原创 最新推荐文章于 2024-11-22 00:35:26 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #windows #反病毒

本文详细分析了一个看似无害的白加黑样本,揭示了其隐藏的恶意行为。通过文件前期整理,发现伪装的.bmp文件实际上触发了rundll32.exe加载恶意dll。在执行流程分析中,重点探讨了Reg.dll、HD_Comm.dll、Au.exe和Config.dat的角色,揭示了键盘监控、文件伪装、进程创建等恶意操作。样本通过创建互斥体、解密Config.dat等方式确保隐蔽执行,并规避安全软件检测。

文章目录

前言

偶然找到一个白加黑的样本,尝试进行分析,看看是如何运行的。
先放个自己做的样本的流程图吧。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XOtR1jdT-1594811631693)(assets/ff7f1a61-8020-4794-ad49-2da67b45c094.png)]

文件前期整理分析

文件夹内有3个文件,前两个是隐藏文件,而且虚假后缀为 .bmp 的文件类型是快捷方式,所以判断这几个文件应该是有猫腻的。

在这里插入图片描述

在这里插入图片描述

使用 HIEW 对截图.bmp文件进行查看,发现它会调用 rundll32.exe 来加载 reg.dll。

在这里插入图片描述

运行截图.bmp文件,会弹出一个 DNF价格表.jpg,使得用户误以为截图.bmp文件是无毒的,然而一个后缀是.jpg,一个是.bmp(实际是.lnk,一般用户都不把文件后缀打开,所以本文暂时将.lnk文件看成是.bmp吧)

在这里插入图片描述

利用火绒剑监控 rundll32.exe 进程,来查看它调用的程序。发现恶意程序会调用隐藏dll及隐藏文件夹中的dll。

在这里插入图片描述

在这里插入图片描述

在进程中发现了有趣的进程出现,QQGame.exe,而我的电脑里可没装这个优秀平台的。

在这里插入图片描述

有个 dllhost.exe 的进程也创建了QQGame.exe。对进程所在的文件目录进行查看,发现有这些可疑文件。大小很可疑,像隐藏文件夹中的一些文件。

在这里插入图片描述

对所有可疑文件进行整理,整理出一个表格,更容易辨别吧。文件的签名可以使用微软的签名查看工具 sigcheck.exe 来查看。

文件名 MD5 是否有签名
HD_Comm.dll 4E7297B83268994537D575716CC65A54
截图.bmp.lnk</
最低0.47元/天 解锁文章
无文件攻击与病毒样本分析-1-5-2-无文件攻击之本地程序交互:LNK文件攻击
不忘初心,护天下安全!
07-15 438
利用lnk快捷方式文件执行无文件攻击
白加黑样本分析
weixin_51409218的博客
08-20 1169
白加黑样本分析
一例白加黑样本分析
好好学习,天天向上
04-16 1811
这是一个典型的白加黑样本,其中使用了许多规避检测的方法,有花指令、有检测360和windows defender,内存加载dll,创建开机启动项和对注册表的操作很特别。有点疑问的话是没有传播模块,不排除钓鱼的嫌疑。
《Web安全之机器学习入门》笔记:第七章 7.6朴素贝叶斯检测DGA域名
mooyuan的网络安全博客
01-31 988
DGA(域名生成算法)是一种由恶意软件动态生成大量随机域名的技术,旨在绕过传统名单检测。其核心原理是通过预设种子(如日期、新闻关键词等)结合特定算法(如线性同余、哈希变形等)批量生成伪随机域名。DGA域名通常具有短生命周期(快速切换),用于以下场景:僵尸网络通信:C&C服务器域名动态变更恶意软件分发:规避URL静态检测数据外泄:建立隐蔽传输通道。
应该增加样本还是样本
ningyanggege的博客
04-09 2459
Windows白加黑DLL劫持
一点一点变好
11-22 610
网上关于如何编写 dll 的资料不全或太过片面在 dll 的 dllmain 函数中执行 shellcode 导致死锁如何在 dll 中截取主线程直接上线通过一翻努力一一解决问题,白加黑终于制作成功,但是发现即便 exe 有 360 签名也不能过 360 的晶核模式,又通过一番寻找成功 bypass 360 晶核模式,不得不说白加黑除了制作 dll 麻烦,使用起来真是简单高效,适合有一定基础的免杀新手尝试。
pc样本学习笔记之“白加黑”恶意程序分析.docx
05-07
- 当用户试图打开这些文件时,系统会提示这是一个来自微软的合法文件,从而降低用户的警惕性。 3. **文件操作与指令分发**: - 在执行过程中,“白加黑”恶意程序会打开特定的目录,并将自身的某些组件拖入其中。...
针对一个红队病毒样本逆向分析
互联网架构小马的博客
08-02 1147
初始载荷初始载荷如下,其中loader.exe是作者编译的一个shellcode加载器。执行流程有合法签名可执行文件(taskhost.exe)侧载恶意 DLL (sbiedll.dll)。这个恶意DLL作为中间载荷,解密密文载荷DAT文件(sbiedll.dat)获取二阶段有效负载。解密的有效负载MoonWalk充当后门,滥用Google Drive进行命令和控制(C2) 通信。精心构造的配置信息。
白加黑路面改造技术分析.doc
10-11
白加黑路面改造技术分析】 本文主要探讨了白加黑路面改造技术在某水泥混凝土路面改造工程中的应用。白加黑技术是一种常见的水泥混凝土路面修复策略,它通过在原有的水泥混凝土路面上加铺一层沥青混凝土,形成刚柔...
精选资源
白加黑免杀教程,很优秀的教程
03-06
录像1.exe可能是这个教程中演示的一个实例,它可能包含了一个免杀技术的实际应用。学习此类教程需要谨慎,因为非法使用这些技术可能会触犯法律。如果你是一名网络安全专业人士,了解这些技术可以帮助你更好地理解...
Virus_lnk
ahoo110的博客
08-14 2181
本篇讲常见的lnk样本.
从恶意程序对LNK格式的利用方法看防护趋势
KD的疯狂实验室
08-25 2088
LNK文件简介#LNK在恶意程序中的利用方式*1曾经的LNK漏洞*2隐藏链接真实对象*3辅助恶意程序运行#博弈趋势利用移动存储设备进行传播的恶意程序与杀软博弈趋势分析
数据不平衡样本处理-SMOTE
qq_38016957的博客
08-28 1811
类别不平衡问题在很多场景中存在,例如欺诈检测,风控识别,在这些样本中,样本(一般为存在问题的样本)的数量一般远少于样本(正常样本)。 上采样(过采样)和下采样(负采样)策略是解决类别不平衡问题的基本方法之一。上采样即增加少数类样本的数量,下采样即减少多数类样本以获取相对平衡的数据集。 SMOTE算法是用的比较多的一种上采样算法,能够提升训练精度 (1)对于少数类中每一个样本x,找出离它最近的...
《Web安全之机器学习入门》笔记:第八章 8.3 逻辑回归算法检测Java溢出攻击
mooyuan的网络安全博客
01-31 938
本小结是基于ADFA-LD数据集使用逻辑回归算法检测JAVA溢出攻击。 1.数据集
《Web安全之机器学习入门》笔记:第七章 7.4朴素贝叶斯检测WebShell(一)
mooyuan的网络安全博客
01-30 691
N-gram是机器学习中NLP处理中的一个较为重要的语言模型,它的基本思想是将文本里面的内容按照字节进行大小为N的滑动窗口操作,形成了长度是N的字节片段序列。通过分析可知本节是对基于Webshell的文本特征进行WebShell的检测,上文提到本文采用在互联网上搜集到的Webshell作为样本,那么样本则是采用当前最新的wordpress源码,如下所示为样本。该模型基于这样一种假设,第N个词的出现只与前面N-1个词相关,而与其它任何词都不相关,整句的概率就是各个词出现概率的乘积。
第三篇—基于样本的webshell检测
Lucky小小吴的小屋
06-16 1243
>  本篇为webshell检测的第三篇,主要讲的是基于样本的webshell预测,从样本收集、特征提取、模型训练,最后模型评估这四步,实现一个简单的样本预测模型。 >  若有误之处,望大佬们指出
任务一
panyue1996的博客
09-05 515
选出样本,并对样本进行采样,并对样本打标并得到驱动表。
《Web安全之机器学习入门》笔记:第九章 9.4 支持向量机算法SVM 检测DGA域名
mooyuan的网络安全博客
02-01 1291
DGA(Domain Generation Algorithm)域名生成算法是一种利用随机字符等算法来生成C&C域名,从而逃避安全设备域名名单检测的技术手段。 1.样本 def load_dga(filename): domain_list=[] #xsxqeadsbgvpdke.co.uk,Domain used by Cryptolocker - Flashback DGA for 13 Apr 2017,2017-04-13, # http://osint..
异常检测(一)——OneClassSVM
热门推荐
MinerYCC
03-30 4万+
1、sklearn中关于异常检测的说法Novelty and Outlier Detection:         Many applications require being able to decide whether a new observation belongs to the same distribution as existing observations (it is an i...
如何通过分析导入表识别白加黑程序?
最新发布
09-06
导入表是可执行文件的一个重要组成部分,它记录了该程序需要调用的外部动态链接库(DLL)及其导出函数。正常的系统程序会从特定的、受信任的系统目录加载DLL,并且依赖的导出函数通常是常见和预期的。 ### 具体识别...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值