RootKit分析:主页保安推广病毒+独狼2 排查与分析全过程

最新推荐文章于 2023-07-20 17:54:06 发布
最新推荐文章于 2023-07-20 17:54:06 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: RootKit Windows病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43312649/article/details/104814201
版权
本文详细介绍了Rootkit病毒“独狼2”的分析过程,包括其利用AutoIt脚本编写、降低系统安全级别的手法,以及如何在系统中释放和隐藏驱动。文章还揭示了病毒如何通过注册表判断、驱动保护机制来规避检测,并讨论了病毒的多种防御技术,如进程监控、注册表操作拦截和TCP数据包监控。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

两页页码保护

在这里插入图片描述
在这里插入图片描述

Rootkit系列病毒“独狼”属于比较有历史的一种底层病毒,最近一次出现在去年四月份,并持续活跃至今。由于在安装盗版Ghost系统时就潜伏其中,Rootkit病毒家族可轻易获取系统底层权限,阻截杀毒软件的查杀,并随时在用户机器上执行任意代码操作。本篇分享分析与排查过程一篇。

拖入IDA反编译exe发现有AutoIt字样,显然恶意软件是AutoIt脚本写的。这里是独立的可执行文件,该文件实际上是AutoIt解释器,其中将编译后的脚本作为资源嵌入其中。
在这里插入图片描述
使用Exe2Aut软件可以提取出原始脚本如下图所示。
样本中使用InitializeSecurityDescriptor初始化安全描述符和SetSecurityDescriptorDacl设置把参数DACL设置为NULL,其

了解本专栏 订阅专栏 解锁全文 超级会员免费看
恶意软件分析——RootKit高级分析技术
摔不死的笨鸟的博客
12-16 1012
RootKit的运行特点是运行之后不退出、不创建其他进程,进程行为几乎完全模仿正常程序。普通方法很难察觉到它们的病毒目的。 这类病毒的目的多是: 1.密码窃取病毒 会进行密码爆破,cookie偷取,键盘记录,DNS枚举,长期藏匿于电脑中一旦得手就给远程服务器连接。 2.感染型病毒 ...
QQ空间自动发广告说说?可能是激活工具附带的独狼Rootkit
四海一叶秋的博客
01-23 9027
关于独狼Rootkit的介绍,可以看腾讯电脑管家的文章: 暴风激活工具传播独狼Rootkit新变种 病毒来源: 很多人也是听信这个弹窗,直接退出杀毒软件再打开激活工具,正中病毒下怀。 这里的激活工具都是加料的,双击运行后,释放运行病毒和激活工具。 上面kkk222.exe的就是病毒,下面的才是激活工具,任务管理器里也可以看到两个baofeng进程。 打开Pchunter,查看驱动模块选项...
后门技术及rootkit工具-Knark分析及防范(二)
weixin_34228617的博客
09-16 168
四、Knark软件包的安装和使用该软件包的核心软件是knark,c,它是一个Linux LKM(loadable kernel-module)。运行命令"make"来编译knark软件包,通过"insmod knark"命令来加载该模块。当knark被加载,隐藏目录/proc/knark被创建,该目录下将包含以下文件:author 作者自我介绍files  系统中隐藏文件...
Rootkit病毒
VBcom的专栏
04-27 4439
        Rootkit病毒是一类特殊的病毒,其最大的特点是“隐形”。采用Rootkit技术的病毒,虽然存在于系统中,但是通常情况下病毒文件本身是被隐藏起来的,根本无法通过资源管理器及各种普通的文件管理工具查看到。典型的Rootkit木马病毒,有著名的“Hxdef100”“C.I.A.”,国内的“AFXRootkit”“黑客之门”等。Rootkit木马可以在目标主机上将自身程序进行隐藏,同时
Jomalone(“独狼”)的Rootkit后门dll分析
好好学习,天天向上
04-24 821
从England.sys(md5为B5F7DE342B1D661E57BCD14615CADEFA)驱动文件中提取了4个dll文件,其中两个64位dll,两个32位dll,主要用于APC注入。
关于rootkit
吖吖狼 的专栏
06-24 1518
一、定义 rootkit是由有用的小型程序组成的工具包,使得攻击者能够保持访问计算机上具有最高权限的用户“root”。换句话说,rootkit是能够持久或可靠地、无法检测地存在于计算机上的一组程序和代码。 rootkit提供了两个主要功能:远程命令和控制,以及软件窃听。 远程命令和控制(简称远程控制):包括对文件进行控制,导致系统重启或“死机蓝屏”,以及访问命令shell(即cmd.exe或
Rootkit的学习研究
08-10
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。
应急响应--linux常用查杀工具:Rootkit查杀
xianjie0318的博客
07-09 5121
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 rootkit主要有两种类型:文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代...
Windows Rootkit 技术分析
斑竹的程序设计专栏
11-29 1578
现在很多人对rootkit认识不够,可以说空白。而此文的目的就是让大家认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。************************************************************转载请保留文章完整,谢谢! *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwe
什么是 Rootkit
南北极之间
07-06 5923
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
Linux平台下木马rootkit的检测和防范
最新发布
靠谱运维
07-20 2374
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
Rootkit
热门推荐
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
简单认识Anti-RootKit
程序人生,学海无涯
05-07 3410
简单认识Anti-RootKit 作者:single 现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK
什么是rootkit
weixin_34019929的博客
08-26 543
Rootkit自身也是***后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit***就是信息世界里的 AIDS(爱滋病),一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的...
BASIC ROOTKIT that hides files, directories, and processes
02-01 1106
// BASIC ROOTKIT that hides files, directories, and processes// ----------------------------------------------------------// v0.1 - Initial, Greg Hoglund (hoglund@rootkit.com)// v0.2 - DirEntry struct
APTHunter——Windows安全日志排查好帮手
摔不死的笨鸟的博客
12-16 4895
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。 服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。 服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值