内核级病毒与木马攻防:windows上四个恶意代码和病毒程序分析实战

最新推荐文章于 2024-05-23 09:42:27 发布
最新推荐文章于 2024-05-23 09:42:27 发布
阅读量1.6k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 内核级病毒与木马攻防战 文章标签: 病毒 木马 黑客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tyler_download/article/details/107836166
本文通过实际案例详细分析了针对Windows系统的四个恶意程序,包括malicious-01.exe、malicious-02.dll、malicious-03.exe和malicious-04.exe。通过工具如PEView、strings.exe、ApateDNS和Process Monitor揭示了恶意程序的启动机制、注册表篡改、网络通信及键盘监控等行为。分析过程中,展示了如何使用虚拟机、DNS拦截和端口监听等技术来理解恶意程序的行为模式。

本节看看如何将前面讲述的各种工具和理论应用到实践中来。我们将拿几个专门针对windows系统开发的恶意程序作为实例,用前面讲到的工具和理论具体分析其设计原理并了解它所要实现的目的。

所要分析的二进制可执行文件以及所有用到的工具可从如下链接下载链接: https://pan.baidu.com/s/1QBwGxCGjA7kYd4HchSTlWg 密码: 09g7
首先我们分析第一个恶意程序,也就是malicious-01.exe。面对exe程序时,首先要做的就是将它丢到PEView里先看看它的大概信息,打开它后我们看到如下内容:

屏幕快照 2020-07-30 下午4.10.32.png

可以看到它的header部分信息非常少,这是程序经过UPX之类程序进行打包的重要特征。点击SECTION.txt下面的IMPORT_Address_Table可以看到它导入了kernel32.dll,接下来用strings.exe 扫一下它包含的字符串看看有没有什么有价值的信息,执行后情况如下:

屏幕快照 2020-07-30 下午4.41.21.png

此时看到几个提供关键线索的字符串,其中SOFTWARE\Class\http\shell\open\commandV这类字符串应该是注册表路径,特别是SOFTWARE\Micro

了解本专栏 订阅专栏 解锁全文
Linux内核级木马病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1598
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒木马的设计模式原理时,必须使用gdb作为手术刀,对要研究的病毒木马进行”剖尸检验“,通过gdb调查木马病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
内核级木马病毒攻防:windows恶意代码分析入门
tyler_download的专栏
07-10 2412
本节帮助读者入门windows上如何对恶意软件或病毒做初步分析分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的原理。 本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的
恶意代码攻击实验(冰河木马广外男孩的使用)
kaisaooo的博客
06-09 4337
目录前言一、冰河木马1.冰河木马的安装使用2.冰河木马的删除二、广外男生1.广外男生的安装使用2.广外男生的删除总结 前言 本文用来记录实验课上冰河木马广外男生两个病毒的使用。 冰河木马文件 链接:https://pan.baidu.com/s/1R7biBH_kYPkWErhYtrJnmA 提取码:pbbs 广外男生文件 链接:https://pan.baidu.com/s/1H3E3nWHPzwrrYMRaVvErqg 提取码:4s5t windows7 64位镜像 链接:https://pan
恶意代码分析实验(一)
shannow_123的博客
04-01 1564
记几个简单的恶意代码分析实验 Lab01-02.exe 检验程序是否有壳 发现加了upx壳,我们用工具脱壳 得到文件后将文件拖入IDA反编译 首先查看字符串,发现可疑字符http://www.malwareanalysisbook.com 猜测该网址为恶意网站,该程序的操作为访问该恶意网址 对代码逻辑的详细分析如下: int sub_401040() { SC_HANDLE v0; // es...
病毒编写教程---Win32篇(三)
小关的专栏
01-15 1106
%获取那些令人疯狂的API函数!!!%~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    正如我在介绍那一章所介绍的,Ring-3是用户级的,所以我们只能访问它的有限的权限。例如,我们不能使用端口,读或写某些的内存区域,等等。当开发Win95(那些再也没有人说的"Win32平台是不可感染"的系统)的时候,微软如果压制住过去所编写的病毒,微软就确信能够击败我们。在他们的美梦中
内核级病毒木马攻防:windows可执行文件结构解析及常用工具
tyler_download的专栏
07-27 1124
大多数人使用windows系统,相必对其.exe结尾的文件印象深刻,执行任何程序时,你双击该文件即可,这个文件就是系统的可执行文件,我们需要了解其组成结构才能对其进行侵入,劫持或注入恶意代码。 .exe文件也叫PE文件,它由一系列段头段来组成。它一开始是一系列段头数据结构,用于描述各个段的相关性质,接下来就是包含代码数据的各种段。有几个段特别值得注意,.text段包含CPU可以执行的指令,其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息,这个段是唯一包含可执行代码的段。.rdata包含引入
内核级木马病毒攻防:Linux可执行文件的ELF格式描述
tyler_download的专栏
07-20 1076
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局运行的基本规律,这样你才能有针对性的设计有效的病毒恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;
windows系统安全基础知识——系统进程病毒
weixin_34388207的博客
02-28 544
如何强制结束一个运行中的进程   Windows操作系统中只有System、SMSS.EXECSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉...
内核后门
weixin_30847271的博客
04-19 262
如果在编写内核源代码时给内核留下后门,则你可以很容易的利用,则可轻易的使用模块实现一些扩展功能(实现一些跟内核相关的应用或是出于攻击性目的的扩展)。 例如:在read系统调用的实现中,你留下了后门: 在read_write.c中,定义了函数指针void (backdoor*)(size_t *count) = NULL; 并使用EXPORT_SYMBOL带出符号backdoor。...
内核级后门Rootkit技术
11-18
内核级后门Rootkit技术内核级后门Rootkit技术内核级后门Rootkit技术
内核级Rootkit技术入门
03-07
Windows下的内核级Rootkit的最基础性的东西,以及利用驱动程序将代码导入到内核的方法。 这是别人写的东西,共享一下.了解一下这个病毒有关的看不见摸不着的东西.
恶意软件分析工具
03-05
能够有效的监控主机网络行为、文件行为、注册表行为;恶意软件的分析专家,病毒木马的终结者。
计算机病毒中的后门病毒,后门病毒是什么?
热门推荐
weixin_39986435的博客
07-14 1万+
所谓后门病毒,顾名思义就是给系统开后门的病毒,该病毒会给系统设置一个后门,多数情况下,我们并不知道系统已经被设有后门,这就好比家里被别人开了个后门,自己还不知道,然后,各类数据随意进出。后门病毒是一种计算机恶意程序,利用安全漏洞为攻击者提供对受感染电脑的未经授权的远程访问,后门病毒在后台运行,对用户隐藏,后门被认为是最危险的寄生虫类型病毒之一,因为它允许恶意软件在受感染的计算机上执行任何可能的操作...
计算机病毒中的后门病毒,国家计算机病毒中心发现恶意后门程序新变种
weixin_36259939的博客
07-14 682
新华网天津7月27日电(记者张建新、袁帅)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意后门程序变种Backdoor_Androm.EWC。该变种运行后,会将其自身复制到受感染操作系统的系统目录下,并重新命名。该变种会提升自身权限,将恶意代码注入指定进程中,以达到隐藏自身的目的。此同时,该变种创建注册表启动项,保存恶意代码,实现自身开机启动。另外,该变种还会在受感染系统的后台...
某后门病毒分析报告(2)——IPC$内网渗透
weixin_43742894的博客
04-13 512
接上篇后门病毒分析报告。 第一个线程中,使用 ipc$ 进行局域网内中的主机进行干扰,下面对 IPC$ 进行一定的了解。 IPC$ 基本概念 **IPC$ (Internet Process Connection)**是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名密码获得相应的权限,在远程管理计算机查看计算机的共享资源时使用。 利用IPC$,连接者甚至可以...
如何防范 Rootkit 恶意软件内核级攻击
m0_60252461的博客
08-19 1405
出于安全目的,不言而喻,用户带入企业数字环境的任何内容,例如可以访问系统内核的软件驱动程序,都必须没有恶意代码或软件。一切都应该经过 IT 管理员的审查批准。Windows 安全模型基于安全对象。操作系统的每个组件都必须确保其负责的对象的安全性。必须保护驱动程序以确保其设备连接到的计算机的安全。对技术感兴趣朋友可以加这个扣扣2779571288交流。 Rootkit 攻击可能是任何组织都经历过的最具破坏性的恶意软件攻击。使用驱动程序访问计算机操作系统内核的 Rootkit 可能会造成极大的损害。他们
专门针对功能强大的内核级后门设计的手杀工具 --icesword使用方法
Just Do It
11-09 2761
IceSword,也称为冰刀或者冰刃,有些地址简称IS,是USTC的PJF(http://www.blogcn.com/user17/pjf/index.html)出品的一款系统诊断、清除利器。下载地址:http://www.ttian.net/website/2005/0829/391.html清除流氓软件工具无数,为什么称之为第一利器呢,有如下的理由:1)你是不是经常有文件删不掉?如CNNIC
病毒木马、蠕虫、rootkit后门
qq_43561370的博客
01-02 9703
病毒木马、蠕虫、rootkit后门 病毒(computer virus) wiki ​ 计算机病毒是一种计算机程序,在执行时,通过修改其他计算机程序插入自己的代码来复制自己。当这种复制成功后,受影响的区域就被称为被计算机病毒“感染”了。 描述 ​ 病毒基本上可以被当做一个可以从一台计算机传播到另一台计算机的程序。蠕虫也是如此,但不同的是,==病毒通常必须将自己注入到可执行文件中才能运行。==当受感染的可执行文件运行时,它就可以传播到其他可执行文件。为了让病毒传播,它通常需要某种用户干预。 ​ 比
Rootkits,黑客之颠!
最新发布
2402_84205067的博客
05-23 1048
以上就是四个月入门内核安全的学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。大家在学习的时候,可以结合自己的实际情况进行缩短增加学习时间。比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。大家对这份学习路线有什么疑问都可以在评论区告诉我哦。
XueTr 0.42:内核级病毒查杀工具支持Win2000以上系统
XueTr 0.42 是一款在信息安全领域极具代表性的系统级病毒辅助查杀工具,广泛应用于Windows操作系统的深层安全检测恶意软件清除。其名称“XueTr”源自“雪特”,寓意如雪般清除系统中的威胁,同时“Tr”可能代表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值