对伪造docx病毒文件的完整分析

原创 已于 2022-06-20 16:29:51 修改 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反病毒 #安全

于 2021-04-07 17:20:55 首次发布
本文详细分析了一种伪装成docx文件的trojan.generic病毒,探讨了其加壳情况、依赖模块、反调试策略、启动过程以及如何结束自身进程。病毒通过创建互斥体防止多个实例运行,并在运行后释放原始docx文件,同时收集信息上传到服务器。了解这些细节有助于提升反病毒防御能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1.病毒文件的基本信息分析

1.1 病毒文件具体展示

病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。

在这里插入图片描述

1.2 病毒信息具体提示

打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒

在这里插入图片描述

1.3 trojan.generic病毒的定义信息

trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

1.4 分析病毒的加壳情况

通过Exeinfo PE工具可以分析出该病毒样本是没有加壳的样本,并且是64位程序。通过区段表信息可以看到它是个常规的PE文件。

最低0.47元/天 解锁文章

200万优质内容无限畅学
计算机病毒分析与防范大全(第3版)
04-19
计算机病毒分析与防范大全(第3版)计算机病毒分析与防范大全(第3版)
Linux完整性子系统及可信计算基础(1).docx
最新发布
07-06
数字签名技术可以保障文件的真实性,使攻击者无法伪造出处的证据。然而,数字签名技术只适用于不变更的文件。 系统安全目标的实现对于构建安全可靠的计算环境至关重要。可信计算和Linux IMA等技术的结合,为保护...
对伪装docx文件病毒的逆向分析
weixin_56537764的博客
04-06 1036
一、病毒文件的基本信息分析 1 病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 2 病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 3 trojan.generic病毒的定义信息 trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释
病毒逆向分析
笔记本
03-18 4214
收到一个病毒样本,被告知高危,需要进行逆向分析分析完成之后写篇你想分析报告,第一次写病毒逆向报告,还不太会排版,见谅。 首先,先拿到病毒传到世界杀毒网上先看看检出率,不出意料,检出率还挺高(60 / 66),毕竟不算是特别新的病毒了, 但是在高检出率的同时,virustotal和腾讯的哈勃分析系统都没能检测到什么关键的病毒行为(腾讯只检出了打开事件,virustotal只检出Isdebug...
逆向漏洞-计算机病毒
Coisini的博客
05-27 387
.docx勒索病毒删除 .docx勒索病毒还原文件
weixin_34128237的博客
10-29 1989
名字.docx勒索病毒类型勒索软件, Cryptovirus简短描述加密你的文件, 并要求你支付赎金, 让他们再次打开。症状文件将附加到. docx 文件扩展名。一个叫YOU_FILES_HERE的赎金纸条被遗留在受害者的电脑上。分配方法垃圾邮件, 电子邮件附件, 可执行文件.docx 文件后缀勒索病毒–分发方法可能有不止一种方式通过此. docx 勒索软件可能会传播到用户的...
如何识别伪造诈骗邮件.docx
09-27
1. **启动邮件客户端:**首先,确保你的电脑上安装了Foxmail、Outlook或其他支持.eml文件格式的邮件客户端软件。这些软件能够帮助我们更方便地查看和分析邮件。 2. **定位可疑邮件:**在邮件列表中找到你怀疑为诈骗...
电子商务交易中的安全问题分析.docx
07-12
电子商务交易中的安全问题分析 在电子商务交易中,安全问题是一项非常重要的课题。随着互联网的发展,网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受。然而,网络所固有的开放性与资源共享...
搜索软件对网络安全的影响.docx
06-08
2 局域网的信息平安 影响局域网信息平安的因素主要有:非授权访问、冒充合法用户、破坏数据的完整性、干扰系统正常运行、病毒与恶意攻击、线路窃听等等。 2.1常规策略:访问控制 访问控制是网络平安防范和保护的...
计算机病毒分析与对抗————5、 网络蠕虫
Fly_鹏程万里
04-24 5189
1、蠕虫定义蠕虫主要利用系统漏洞进行传播,感染并执行其恶意功能的,它可以独立运行,并且能把自身的一个包含所有功能的版本传播到另外的计算机上。2、蠕虫、病毒之间的区别与联系:相同点:网络蠕虫和计算机病毒都具有传播性和破坏性不同点:3、蠕虫的行为特征主动攻击、行踪隐蔽、利用系统或网络服务漏洞、造成网络拥塞、破坏性、反复性、产生安全隐患4、蠕虫程序的功能结构基本功能有五个模块构成:(1)     搜索模...
专门感染word文件的计算机病毒是什么,计算机病毒分类及详细介绍.doc
weixin_39939668的博客
07-20 7527
(Script.Redlof)--可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。3、系统病毒系统病毒的前缀为: Win32 、PE、Win95 、W32、W95 等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和*.dll 文件,并通...
文档宏病毒
weixin_43781139的博客
07-16 3688
文档类病毒介绍 许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件,再由PE文件执行恶意行为。一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。 下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点: 可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件分析技巧就变得极为重要,我们将
文件上传漏洞-解析、验证、伪造1
Keepb1ue的博客
06-11 5259
文件上传漏洞: 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系...
病毒反调试跟踪
笔记本
03-21 3289
跟踪一个反调试巨多的病毒样本 1.调用 QueryPerformanceCounter反调试,这个API调用了封装ZwQueryPerformanceCounter系统调用的ntdll!NtQueryPerformanceCounter 004060FA |. 3345 FC xor eax,[local.1] 004060FD |. 8945 FC ...
[译] APT分析报告:04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测
杨秀璋的专栏
10-08 8591
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。这篇文章将介绍一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。其中,DllMain函数反分析检查,以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。
360杀毒 真棒
千里之行,始于足下
01-18 1398
cout一个HelloWorld 你360杀毒报恶意软件?!! 类型: G_Trojan.Generic.003f196c 文件指纹(MD5): 3abc99a6891270be9892b9a958e041c5
服务器word文件病毒,极具欺骗性的勒索病毒出现!打开Office文档立刻中招
weixin_40008884的博客
08-03 1837
WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已经泛滥成灾,下半年几乎每天都有新的变种出现,攻击手法也无所不用其极。中了这种病毒后,用户的电脑文件就会被高强度加密,能恢复的极为罕见,损失惨重。本周末,金山毒霸安全实验室再次截获最新的勒索病毒,这次是利用Office DDE(微软动态数据交换)里边的一个漏洞,极具伪装性、欺骗性。用户一旦点错对话框,会立刻导致电脑文...
如何用java实现附件上传功能:仅限上传xlsx/xls/word/pdf等文件
03-18
<think>好的,我现在需要帮用户解决如何使用Java实现限制文件类型为xlsx、xls、Word和PDF的文件上传功能。首先,我得回忆一下常见的Java文件上传方法,可能用Spring框架比较多,因为用户提到了Spring的引用。 用户的需求是限制上传的文件类型,这通常涉及到两个层面:前端和后端。虽然用户可能主要关心后端,但最好也提一下前端验证,因为单纯后端验证不够安全。比如,前端可以通过HTML的accept属性来过滤,但后端必须进行严格的检查,防止恶意绕过。 接下来,后端的实现。在Spring Boot中,处理文件上传通常用MultipartFile。需要检查文件的MIME类型或扩展名。不过,用户引用的资料里提到了使用JodConverter来处理文档转换,这可能和文件上传本身无关,但用户可能已经有相关环境,需要注意兼容性。 然后,具体的验证步骤。首先,获取上传文件的原始文件名,提取扩展名,然后判断是否在允许的列表(xlsx, xls, doc, docx, pdf)。但仅仅检查扩展名不安全,因为用户可以伪造扩展名。因此,还需要检查文件的Content-Type,或者更深入地检查文件头部的魔数(magic number)来确定真实类型。 例如,PDF文件的魔数是%PDF,而Excel文件有特定的签名。不过,这种方法可能需要更复杂的代码,用户可能希望一个简单的方法。所以,可能建议结合扩展名和MIME类型检查,同时提到如果需要更严格的验证,可以进一步检查文件内容。 然后,如何处理不符合类型的文件?应该抛出异常,返回错误信息,比如使用Spring的ResponseEntity来返回状态码和错误提示。 代码示例方面,可以写一个Spring Boot的Controller,使用@PostMapping处理上传请求,获取文件,进行验证。比如,检查文件是否为空,然后获取文件名的扩展名,转成小写,判断是否在允许的列表里。如果不在,返回400错误。同时,可以检查Content-Type是否符合预期,比如application/vnd.openxmlformats-officedocument.spreadsheetml.sheet对应xlsx等。 另外,用户提到的引用中有关于OpenOffice的配置,这可能用于文件转换,但和上传限制无关,所以可能不需要涉及这部分,除非用户想在上传后自动转换文件格式,但问题中没有提到,所以暂时忽略。 最后,安全性方面,除了类型检查,还要注意文件大小限制、存储路径的安全、防止覆盖攻击等,但用户主要问的是类型限制,所以可能简要提及这些作为补充。 总结步骤:前端验证(可选但建议),后端检查扩展名和MIME类型,必要时检查文件内容,处理无效类型返回错误,示例代码展示如何实现。</think>### 如何用Java限制上传文件类型为xlsx/xls/word/pdf? #### 1. 实现思路 - **前端验证**:通过HTML的`accept`属性初步过滤文件类型(但不可依赖,需后端二次验证)[^1] - **后端验证**: - 检查文件扩展名(如`.xlsx`, `.pdf`) - 验证MIME类型(如`application/vnd.openxmlformats-officedocument.spreadsheetml.sheet`) - 可选:通过文件头(Magic Number)深度验证文件真实类型 #### 2. Spring Boot实现代码示例 ```java @RestController public class FileUploadController { // 允许的扩展名集合 private static final Set<String> ALLOWED_EXTENSIONS = Set.of( "xlsx", "xls", "doc", "docx", "pdf" ); // 允许的MIME类型集合 private static final Set<String> ALLOWED_MIME_TYPES = Set.of( "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet", "application/vnd.ms-excel", "application/msword", "application/vnd.openxmlformats-officedocument.wordprocessingml.document", "application/pdf" ); @PostMapping("/upload") public ResponseEntity<String> uploadFile(@RequestParam("file") MultipartFile file) { // 基础验证 if (file.isEmpty()) { return ResponseEntity.badRequest().body("文件为空"); } // 获取文件名和扩展名 String fileName = file.getOriginalFilename(); String fileExtension = fileName.substring(fileName.lastIndexOf(".") + 1).toLowerCase(); // 扩展名验证 if (!ALLOWED_EXTENSIONS.contains(fileExtension)) { return ResponseEntity.badRequest().body("不支持的文件类型"); } // MIME类型验证 if (!ALLOWED_MIME_TYPES.contains(file.getContentType())) { return ResponseEntity.badRequest().body("文件类型与扩展名不匹配"); } // TODO: 保存文件到指定位置 return ResponseEntity.ok("上传成功"); } } ``` #### 3. 关键增强措施 - **文件头验证**(示例代码片段): ```java private boolean validateMagicNumber(MultipartFile file) throws IOException { byte[] header = Arrays.copyOfRange(file.getBytes(), 0, 4); String hexHeader = bytesToHex(header); // PDF的魔数为25504446(%PDF) // Excel的魔数为D0CF11E0(DOCFILE) return hexHeader.startsWith("25504446") || hexHeader.startsWith("D0CF11E0"); } ``` - **配置文件大小限制**(在`application.properties`中): ```properties spring.servlet.multipart.max-file-size=10MB spring.servlet.multipart.max-request-size=10MB ``` #### 4. 安全建议 1. 将上传文件存储在非Web根目录 2. 对保存的文件重命名(如UUID) 3. 使用防病毒软件扫描上传文件[^2]
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值