远控病毒分析

最新推荐文章于 2025-04-01 18:12:49 发布
原创 最新推荐文章于 2025-04-01 18:12:49 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#病毒

OD加载1.exe,运行后观察火绒剑或者procexp,发现一个子程序,如图:

ok麻烦事儿来了==,分析完母体还得分析子程序。
先查壳,
NSIS….百度一下发现
恩 不仔细看了 估计是打包程序的程序,不是什么壳。
通过静态分析IDA和火绒剑的分析发现:



1获取母体路径,然后在C:\Documents and Settings\Administrator\Local Setting\Temp 即“//temp”下释放临时文件
2创建NVIDIA Corporation\Update文件夹释放子程序,并运行。
3然后改注册表。
4最后把1.exe删除,结束母体进程。
大概就是这么回事,然后OD仔细看看。

母体路径
然后获取完整路径,用“(即22)作为结束符判断

继续看 这个临时文件先不管是用来做什么的

总之就是call到temp文件然后又call回来…个人理解为是在干扰分析用的。
继续看:

这是在C:\Documents and Settings\Administrator\Local Settings\Application Data\NVIDIA Corporation\Update\路径下创建子程序
然后运行
最后关闭
00401E8A |> FF15 EC704000 CALL DWORD PTR DS:[<&KERNEL32.CloseH>; \CloseHandle

后面就是连续的改名并对子程序创建Key。
然后分析子程序因为已经在运行所以不用把子程序拉入OD

检查自己是否存在并删除母体


后来发现在火绒剑上有TCP/IP活动,我就点开一看发现之前访问的ip没了,就寻思着把子程序直接拖进od发现并不能运行只好把所有生成的文件全删了 然后再来一遍发现


各种不停的发包和接包
最后扔到火眼里也没有明确报告 根据他一直send 感觉是远控木马。

H-WORM家族木马分析与处置
不忘初心,护天下安全!
08-15 3147
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\"和"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6867
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
基于DNS日志分析,勒索病毒病毒排查方法
xudxy的专栏
06-15 4846
 由于公司受到勒索病毒及一些病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒病毒特征分析               通过网上收集,勒索病毒病毒运行会访问特定域名,仅作为示例:   ...
程管理特洛伊木马(RAT)病毒
E网无涯的专栏
08-13 3244
程管理特洛伊木马(RAT)病毒 RATs   The world of malicious software is often divided into two types: viral and nonviral. Viruses are little bits of code that are buried in other codes. When the “host” codes a
网络安全警示:小心“银狐病毒”,近期多家医院外网电脑遭受木马攻击
最新发布
huoronganquan的博客
04-01 1198
通过木马获取受害者设备的制权限,利用受害者的社交软件(如微信、企业微信、Telegram)向其联系人群发恶意链接或文件,达到木马传播的目的。利用受害者使用的网站中常见的Nday漏洞(如Struts2、Log4j、WebLogic等)直接植入木马,入侵受害者系统。通过入侵第三方软件库,篡改其中的更新包或安装包,将木马伪装为合法软件的部分功能,借助供应链传播至受害者系统。创建高仿的应用下载页面,伪装为热门工具、游戏或办公软件,诱骗受害者下载含有木马的应用程序。
木马病毒分析
m0_64973256的博客
08-24 789
一、病毒简介SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1MD5:0902b9ff0eae8584921f70d12ae7b391SHA1:f71b9183e035e7f0039961b0ac750010808ebb01 同样在我们win7虚拟机中,使用火绒剑进行监分析行为特征: 首先是一个拷贝自身,而在后面也被行为检测标蓝; 其次就是大量的枚举进程; 这里启动了释放的文件,并设置了自启动; 结合这里,获取
msfvenom 生成病毒
qq_27683317的博客
09-20 597
这里通过手动上传,先将kali上的demo.exe文件通过sz命令下载到本地电脑,然后复制该文件,再粘贴到win7上(192.168.43.128)。是用来生成后门软件的。在目标机上执行后门,在本地监听上线。use exploit/multi/handler 命令,使用该模块来开启后门程序的端口(9999)#-f : 文件格式(可执行文件)。#-lport: 攻击机(kali)的端口,填写范围在 0~65535。#-lhost: 攻击机(kali)的ip地址。#-o: 代表输出,后面跟生成后门的文件名称。
木马分析(实习生)
heikezhishi的博客
08-19 1006
病毒来源:朋友服务器发现此木马 当时为了提样本搞了很久,一直找恢复文件,对提取样本有研究的朋友还请指导指导。 文件名:vister.exe MD5:30866adc2976704bca0f051b5474a1ee 此处创建了一个进程 申明了一个2800大小的Space.buffer 并将地址mov到5123EA08 导入win32 api创建了文件,继续走。 Loadlibrary加载了msvcrt.dll,获取memcpy的函数地址。 ...
ghost3.75_2020免杀_免杀_ghost制_免杀_Ghost_
09-29
Ghost2020版本宣称已经实现了免杀功能,这意味着它能够绕过大多数主流的防病毒软件,提高了其在实际应用中的隐蔽性。 Ghost制的核心在于它的程桌面功能,用户可以程访问并制另一台计算机,如同坐在...
GH0ST3.75源码分析与免杀技术研究
免杀(免于杀毒)指的是利用各种手段使得恶意软件(如病毒、木马、程序等)逃过杀毒软件的检测。这通常涉及到复杂的代码混淆、加密、动态加载等技术。免杀技术的提升意味着恶意软件在不被发现的情况下,在目标...
使用Kali Linux系统生成木马病毒并实现制计算机
热门推荐
guyu的博客
05-06 4万+
使用KALI生成木马病毒实现制 前言    该文章内容仅用于学习使用Kali Linux系统,请不要将它用于非法的途径,如有意外概不负责。        我将会详细介绍使用Kali Linux系统生成木马并用它制一台处在外网的物理计算机,使用到的工具有:    1、VMware Workstation Pro 16(虚拟机)    下载地址:https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.
VBS写成的病毒分析
weixin_44156885的博客
11-23 756
Agent.a病毒分析 样本信息 MD5:78a0e123da2a2555f830cb880293c10d 样本概述 该病毒是一个通过可移动磁盘传播的后门病毒。其感染主机后会分别将自身拷贝到自启目录和临时目录,并添加自启以实现持久化。其在运行后会连接http://shabh.no-ip.biz:1975/is-ready上传主机信息和接收制指令,并在主机使用可移动磁盘时感染可移动磁盘。 行为概述 注册表行为 1,分别在·HKEY_CURRENT_USER\Software\Microsoft\Window
【2018-10-31】经典马完整分析
weixin_34050427的博客
11-02 790
样本下载 样本原文件 链接我的分析过程包括提取的文件以及idb等 链接提示:请勿实体机分析 样本信息 文件名称:样本一.zip,解压后有两个快捷方式 显示隐藏文件后,总共有6个文件 依次查看这几个文件,bbs.bmp就是一张空白图,nvwsrds.dll是自写的一个动态库,temp中包含一堆数据,png.bat中内容是 (1). m...
使用KALI生成木马病毒实现
小司机的奥拓
12-25 5243
该文章内容仅用于学习使用Kali Linux系统,请不要将它用于非法的途径,如有意外概不负责。我将会详细介绍使用Kali Linux系统生成木马并用它制一台处在外网的物理计算机,使用到的工具有:1、VMware Workstation Pro 16(虚拟机)下载地址:https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html2、Kali Linux 2021(系统)
火眼病毒木马分析
weixin_34236869的博客
01-14 263
本文的原文连接是: http://blog.youkuaiyun.com/freewebsys/article/details/50515004 未经博主允许不得转载。 博主地址是:http://blog.youkuaiyun.com/freewebsys 1,木马分析 最近服务器中招了,破windows。 找到了一个木马分析云端软件。火眼,网站是:...
计算机什么病毒制功能,怎样知道自己的电脑已被
weixin_36370128的博客
07-30 1673
2007-05-09电脑被制怎么办并且...电脑被关于木马病毒的查杀,单独的执行杀毒程序,已经跟不上病毒发展前进的脚步了……………………当今病毒的主要特点:1。进入启动项,开机自动运行2。劫持浏览器,联网自动下载3。修改注册表,让你无法彻底查杀…………因此在杀毒同时,必须同时清除启动项里面病毒的内容…………在杀毒同时,必须同时修复你的浏览器,因为你的浏览器很大的可能已经被劫持了………………...
向日葵制遭勒索病毒攻击系谣言 贝锐官方已发公告辟谣
weixin_59796310的博客
09-03 4171
向日葵制遭勒索病毒攻击系谣言 贝锐官方已发公告辟谣
电脑工具Venom Rat 毒液的测试和预防
百锦再的博客
02-21 2万+
毒老鼠,毒鼠。后来我又去查了一些相关网站,终于确定了,他就叫毒液,至于为什么叫毒液,我才因为是可以注入的,所以叫这个名字吧。言归正传!Venom Rat(毒液)实际上是一种恶意软件,而不是普通的电脑制软件。毒液(Venom)通常指具有程访问功能的RAT(Remote Access Trojan)恶意软件,可以允许黑客程操受感染的计算机,并窃取敏感信息、监视用户活动等。请注意,这些恶意软件可能非法使用和传播,给个人和组织带来严重的安全威胁。也就是说毒液指的是一类软件。
移动端C#病毒“东山再起”,利用知名应用通信实现隐私窃取
omnispace的博客
12-30 1097
伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。   近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.N
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值