某“银狐”样本清除思路

最新推荐文章于 2025-01-08 08:26:53 发布
原创 最新推荐文章于 2025-01-08 08:26:53 发布
· 615 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#银狐 #windows

             以下内容包含某“银狐"样本运行现象及清除过程。

*样本来源:https://bbs.kafan.cn/thread-2276868-1-1.html

测试环境:虚拟机,win10 19045,断网

基础现象:

1,会结束一些工具的进程(例如 processhacker,autoruns等)

2,会多两个进程runtime.exe和winnt.exe

3, 去runtime.exe所在文件夹下,发现并没有对应的文件;给该目录去掉系统和隐藏属性(attrib -s -h),就可以看到其他文件

直接ctrl+a+ctrl+d 删除这些文件,本能删除的尝试重命名;然后重启

curl.dll和tProtect.dll对应的是驱动服务,需要删除服务项。

Update.wnc对应的是计划任务运行的文件,计划任务项目名称为 kafanbbs(可以在系统日志中找到相关记录),对应的xml文件时EFCF.tmp在临时文件夹

                                   创建计划任务的系统日志记录

可以看出,Autoruns并没有列举出”银狐“注册的特殊计划任务,差评。

EFCF.tmp文件如下所示:

所以把上面这些文件及创建的表项删完,基本上就清除干净了。不过这只是在断网的情况下,实际环境中应该还有其他痕迹。

银狐叒进化,溯源不了,清理不掉!一线应急响应工程师教你如何手工处理
qq_44606373的博客
02-17 913
下班时间看到微步发布了一篇公众号文章《银狐叒进化,溯源不了,清理不掉!》看完这个文章后,发现,咦?这个样本,一月初的时候不是处理过一个一样的案例。当时还处理的很头疼,最后根据主机现象,分析出主机落地的文件以及恶意行为,处理掉这个病毒程序。那么阅读微步发布的文章后,也更深刻了解了该病毒整体的运行机制。​​同时月初的时候,也发现在技术交流群中,也有小伙伴中过银狐,也讨论帮他解决过。​当时未保留样本,但是很幸运,在卡饭论坛发现有大佬早在12月的时候就发现该样本,并上传至论坛。
网络安全私人面经(刚毕业版本)
weixin_71842928的博客
10-29 94
自我介绍个人观点,就是一个简单明了,其中突出·学校·教育经历·学习经历·在学校里的和专业相关的经历,然后你参加过什么项目最好结尾加上一些你为什么来这家公司巴拉巴拉来一个小小的彩虹屁(小小的就可以)然后感谢面试官给我这次经历。 当给你一个网站的时候你如何进行信息收集,就假如是本公司的网站。答:首先我们拿到一个网站域名或者IP的时候首先就要进行的就是信息收集第一步:推荐使用站长工具,选择whois查询 ,通过ping该域名查看IPIP的Howis查询这样就获得了该网站的基本信息。当然还有DNS历史解
银狐木马最新攻击手法揭秘.pdf
02-01
银狐木马最新攻击手法揭秘.pdf
更新wincvs代码
珂珂可爱多
12-09 668
打开weincvs软件,右键选择红色标记的文件夹--->updateupdate setting里面选中后两项(用力敲黑板)否则可能会因为两个开发人员都修改了同一个文件造成的文件冲突,确定就可以了。 一般更新的都是主线上的版本 我们还可以在update options里面设置相关项,确定是选择更新某个版本还是主线的代码。
Win11系统提示找不到UpdateReboot.dll文件的解决办法
file
11-21 961
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个UpdateReboot.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现UpdateReboot.dll丢失要怎么解决?
【开源】检查更新程序 CheckUpdate.Net 的实现
weixin_34268610的博客
09-13 251
访问最新源代码及更新历史:http://git.oschina.net/xcong/CheckUpdate.Net DownLoad 更新历史 version 1.2 [新增]添加UpdateFileClient.exe.config文件,修改UpdateFileClient.exe依赖的.Net Framwork 2.0版本与主程序兼容问题 [修改]修改更新程序,下载文件不存在时提示文件...
应急案例:内网终端安全事件分析与处置过程详解,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
01-08 1005
某单位内网中一台PC被用户反馈存在异常行为,具体表现为该设备疑似被远程控制,并向外发送文件。值得注意的是,在整个过程中,安装的杀毒软件和态势感知系统均未触发任何告警。为保障网络安全,我们立即启动了紧急响应程序,对受影响的终端进行了详细调查。
基于随机森林回归的船舶特涂维修的日能耗预测
weixin_45585364的博客
08-05 175
基于随机森林回归的船舶特涂维修的日能耗预测甘瑞平1,任新民2,姜军2,李鹏3,周小兵11.云南大学信息学院,云南 昆明 650504;2.友联船厂(蛇口)有限公司,广东 深圳 518067;3.深圳市中科银狐机器人有限公司,广东 深圳 518216摘要:特殊涂装(简称特涂)维修是修船工作的核心内容,能耗的预测是船舶智能能效优化中的一项重要任务。使用随机森林回归(RFR)模型对船舶特涂维...
基于ndis protocol driver 后门 分析
pureman_mega的博客
09-16 4500
样本文件MD5: 42f43edc9937e4aa5f985773f5ea9daa 这个样本有点老了,之前分析了一下他的命令执行部分,数据流程一直没有弄明白,现在记录一下。这个样本一上来会通过注册一个临时的 protocol driver (ndis 5.0, 差别多在xp 时代) ;注册成功后会返回一个ndis_handle 指针,然后通过这个指针加上硬编码的偏移找到 tcp/ip protocol driver 的 ndis_handle ,再挂钩(hook) 该结构中的receive 等回调函数;.
简单的键盘按键记录(无码)/虚拟地址转物理地址/生成随机字符串/计算字符串哈希
pureman_mega的博客
06-24 3373
最近看到 一个 样本 ,里面有键盘 按键记录的功能 ,而且 实现也比较 简单,运行 记录 的效果还 不错 。主要思路如下 : //假代码 int i=0; for(i=0;i<0x100;i++) { GetKeyState(i); //参考:https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-getkeystate //如果有按键 记录,就去获取一些相关信..
病毒常用方法之注册表操作
pureman_mega的博客
04-03 1240
注册表的增删查改操作基本上是恶意代码的常规操作,但是对注册表的操作通常会留下痕迹,导致被发现,最后被清理掉 .对于驱动模块更是如此,驱动程序的入口函数的第二个参数就是注册表路径,当驱动加载后该值会被写到相应的位置,这是为了隐藏自己,要将与之相关的表项都删掉.下面是一段反汇编代码: int __stdcall DeleteKey(POBJECT_ATTRIBUTES ObjectAttributes)
手动完成FindResource()等函数的工作
pureman_mega的博客
10-24 1025
(1024节日快乐)  在样本中多次从资源中获取原始数据,就是通过调用FindResource。FindResource(HMODULE hModule,LPCSTR lpName,LPCSTR lpType)函数功能是找到文件中的指定资源。三个参数分别表示:hModule指向目标模块,lpName是资源的名称,lpType是类型。它第2个实参有6个,分别是4,5,6,7,14h,15h;第3个...
Equation Group的组件DoubleFantasy模块分析(上)数据收集
pureman_mega的博客
04-07 1021
在分析的过程中可以发现,这个组件和前面分析的一个组件在大的框架下表现是一样的:它们都有一个贯穿整个过程的解密函数,同时使用资源来装载‘材料’–数据和程序。 寻找资源的代码FindResourceA(hModule,lpName,lpType); //其中lpName的取值可以为:1,2,4;lpName去1或2时,找到相应的数据;取4时释放一个dll文件。 //lpName="BINRES",-
cerber勒索软件分析
pureman_mega的博客
01-18 938
前置 关于对称/非对称加密:对称加密和非对称加密的区别 - 姚春辉 - 博客园 (cnblogs.com) 常见的对称加密算法有:DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES 常见的非对称加密算法有: RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用) ...
Equation样本中nls_933w.dll模块简单分析(上)
pureman_mega的博客
04-05 759
这是一个dll文件,它的任务是对导出的5个函数提供支持。这些导出函数被调用程序使用完成相应的‘使命’,主要在两个方面,1注册表,2释放驱动文件并加载,与之通信。 1,突破口 将文件用Ida打开后,习惯性的去查看导入表来对可能发生的行为作一个大概的猜测。大致有注册表,权限(privilege),文件,资源,通信(与驱动程序,DeviceIoControl)。看来看去都是一个样,用过这些api的大概
Eternalblue-2.2.0 shellcode 分析
pureman_mega的博客
12-09 757
shellcode 部分支持32和64位系统,在执行开始会进行判断并分发,如下图: 32 64 (这个细节点是看别人博客写的)同样的机器码,在32和64位处理器中解析是不同的指令,以此来区分32和64位系统。可以通过ida分别以32和64位模式打开shellcode来查看。 64位shellcode正文部分: 000000005BF sub_5BF proc near ; CODE XREF
病毒常用方法之隐身术
pureman_mega的博客
03-11 684
什么是隐身术呢?哈利波特在实验室里穿上隐身衣,教授就看不见他们了;孙悟空72变,隐个身那也是小菜一碟。总之,隐身术就是在一定环境下让别人看不到自己。做坏事肯定不想被抓住,所以就找一些方法来隐藏自己的痕迹。目前我知道的有2种:1,通过设置文件的属性来实现文件隐藏,这种方法操作简单,效果可以达到,但留下了一些马脚(当通过正常操作打开文件夹时,在窗体的最下端有一块位置会显示-----有多少个对象,这时如果
病毒常用方法之回到起点---PE文件
pureman_mega的博客
03-12 457
一般的可执行恶意样本的INT(导入名称表)在一定程度上就暴露了自己的行为,所以又来保护自己了。下面是一个样本中的实际应用,从PE文件结构入手。为了可以调用相关的API (由kernel32.dll ,ntdll.dll等导出,它先找到目标dll在内存中加载的地址(这些系统dll已经有系统加载到内存中),然后就是根据PE文件结构一顿操作,主要是通过导出名称字符生成一个DWORD数去比对,在找到Func
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值