利用注册表实现持久化的恶意代码分析

恶意VBA生成XSL并加载JS脚本
最新推荐文章于 2025-09-08 16:41:47 发布
原创 最新推荐文章于 2025-09-08 16:41:47 发布 · 647 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了一种恶意VBA宏技术,它通过生成XSL文件并利用Msxml2.XSLTemplate.3.0进行解析,最终执行经过解密的JS脚本来实现远程命令获取和服务端检测等功能。

代码sha256:8ea59c1e3054bc49c2b358eb73ccb59e5e662499bbc97d727c308291b270e06d

文件类型:doc文档

恶意代码类型:vba

在此文档的vb脚本中再次生成了一个xsl的文件,利用Msxml2.XSLTemplate.3.0对其进行解析:

 

 

 

xsl文件sha256:2946CA5BCB02F4406340C66E3621ADB0DD924174F4306AB5931325903533882F

其内部代码为:

经网页url编码转换器转换后发现其为对一段js代码解密执行:

上图为解密算法

解密出的文件为js脚本:

此脚本将变量data1存储到注册表:

图中,autoname为“loaderName”,regname为“data”。

此脚本同时实现服务端在线检测,受控端上线获取命令等操作:

http[:]//111.90.150.78/ww/loader.php?r=[random]         服务端存活检测/同时获取命令

对loader获取的响应解析

loader响应:

 

 

 

 

writeP
关注
74、恶意代码的隐蔽持久化
qsc901234567的博客
06-17 78
本文深入探讨了恶意代码如何通过隐蔽持久化技术在目标系统中长期存在并持续运行。内容涵盖隐蔽持久化的定义、实现方法、具体技术细节以及应对策略,包括环境密钥管理、隐蔽通道、动态加密后门等核心技术,并结合StuxNet、Conficker和Duqu等实际案例分析其应用。此外,文章还介绍了进一步提高系统安全性的措施,如多层次检测、逆向工程技术、内核防护等,旨在帮助读者全面了解隐蔽持久化威胁并采取有效防范手段。
6、利用 Python 实现代码执行与持久化
kmeans3miner的博客
09-07 37
本文深入探讨了如何利用 Python 在 Windows 系统中实现代码执行与持久化,涵盖通过 schtasks 创建计划任务和修改注册表自动运行键的技术细节。同时介绍了防御者如何使用 Python 检测此类行为,包括监控计划任务和注册表中的异常项,并提供了多种检测脚本示例。文章还总结了不同持久化技术的优缺点、风险应对措施及拓展应用,如服务持久化和综合检测工具开发,旨在帮助安全研究人员更好地理解攻防双方的技术手段。
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
杨秀璋的专栏
10-29 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Powershell基础入门知识,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。这篇文章将从Powershell条件语句、循环语句、数组、函数 、字符串操作、注册表访问等方面讲解。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
恶意代码——注册表
weixin_30885111的博客
11-20 466
AppInit_DLL(利用user32.dll) 通过AppInit_DLL特殊的注册表项,这样可以获取DLL的加载,因为AppInit_DLL中的DLL会在进程加载User32.dll时被加载 由于很多程序都是加载User32.dll,所以这些进程也会加载AppInit_DLL,恶意代码编写者通常只针对一个进程,(进行精准打击)所以为了排除没用的进程,恶意代码编写的payload...
恶意代码分析实战』Windows API编程——通过修改注册表的方式实现自启动
Ho1aAs‘s Blog
10-18 1642
# 前言 ## 实验要求 编写代码,编辑注册表的Run/RunOnce/RunOnceEx键(任选其一),达到让某一程序在系统启动后自动运行的目的(可以以计算器、记事本等作为目标程序)。 ## 实验环境 Windows 7或Windows 10主机(虚拟机); 代码编辑器; C/C++代码运行所需环境。 ## 实验目的 了解恶意代码自启动常用手段。
持久化 - Windows
bylfsj的博客
11-01 633
5.2. 持久化 - Windows¶ 5.2.1. 隐藏文件¶ 创建系统隐藏文件 attrib +s +a +r +h filename / attrib +s +h filename 利用NTFS ADS (Alternate Data Streams) 创建隐藏文件 利用Windows保留字 aux|prn|con|nul|com1|com2|com3|com4|com...
恶意代码分析
for_mat_的博客
08-05 637
类型: virus 感染型病毒,侵入程序中 Worm 蠕虫病毒,传播性 Trojan 木马 远程控制,盗取账号信息等 Ransomware 勒索软件 加密文档 勒索比特币 APT 高级持续性攻击木马,窃取机密信息等 分析病毒四部曲: 提取样本,手工清理机器 行为分析,获取病毒行为 详细分析,找到行为的恶意代码的位置 提出解决方案 PCHunter:ARK工具,作用...
利用Python实现代码执行与持久化的攻防策略
本文将介绍如何使用Python实现代码执行、创建和识别计划任务,以及利用Windows注册表实现持久化和检测相关操作。 #### 1. 实现代码执行与计划任务管理 攻击者可以利用计划任务在Windows系统上自动执行恶意代码,而...
银狐后门持久化技术深度分析与防御
首先,从标题“银狐后门持久化分析[源码]”可以看出,该研究并非仅停留在现象层面,而是基于实际获取的恶意代码源码进行逆向工程与动态行为追踪,具有极高的技术深度与实战价值。通过源码分析,研究人员能够精准定位...
7、利用Python实现Windows系统持久化及路径修改检测
最新发布
kmeans3miner的博客
09-08 38
本文介绍了如何利用Python实现Windows系统的持久化机制及路径修改的检测方法。内容涵盖通过注册表HKLM、HKCU和HKU蜂巢中的Autorun键实现持久化,劫持执行流程,以及通过修改Path环境变量实现恶意代码优先执行。同时,文章详细讲解了如何使用Python检测注册表中Autorun项、基于时间戳和Windows审计日志(事件ID 4657)检测Path路径的异常修改,帮助安全研究人员识别潜在的持久化攻击行为。文中提供了完整的代码示例和操作流程,适合网络安全与防御技术学习者参考实践。
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1450
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
网安--第七章 恶意代码分析与防治
热门推荐
lishirong_李世荣的专栏
12-02 1万+
第7章 恶意代码分析与防治内容提要◎ 恶意代码的发展史和恶意代码长期存在的原因◎ 恶意代码实现机理、定义以及攻击方法◎ 恶意代码生存技术、隐藏技术,介绍网络蠕虫的定义以及结构◎ 恶意代码防范方法:基于主机的检测方法和基于网络的检测方法7.1  恶意代码概述代码是指计算机程序代码,可以被执行完成特定功能。任何食物事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。计算机程
恶意代码分析实战 Lab 7-2 习题笔记
isinstance的博客
09-26 1476
Lab 7-2问题1.这个程序如何完成持久化驻留?解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看 我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看第一个函数CoCreateInstance这个函数是这样的看
后门及持久化访问4----Com组件劫持
浅笑996的博客
07-01 1257
代码及原理介绍 COM是Component Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID,尽量选择应用范围广的CLSID。这里,我们选择的CLSID为:{b5f8350b-0548...
常见的几种Windows后门持久化方式
qq284489030的博客
05-09 2322
0×0 背景 持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
注册表后门持久的思考
战神/calmness的博客
09-22 1073
目录 准备环境 过程 比较说明【可执行文件留持久后门】 结果上线!!! 或者 准备环境 windows10 虚拟机 Cobalt Strike【这里部署在Windows10上,服务器置于云上】 过程 远程木马控制了windows10虚拟机,利用Cobalt Strike 在Cobalt Strike下进入beacon 比较说明【可执行文件留持久后门】 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi
利用Office加载项进行持久化控制的6种姿势
weixin_34354173的博客
09-19 856
本文讲的是利用Office加载项进行持久化控制的6种姿势,现在,几乎所有用户都会使用Microsoft Office,它的普及率这么高,以至于攻击者经常会用它来实施大规模攻击。 本文就将为大家介绍通过Microsoft Office获得持久性攻击的各种机会,由于受到Kostas Lintovois写的“Windows Services – All ro...
MFC中持久化实现
zhangtaohbwh的博客
08-23 1308
在单文档中实现自定义类的持久化,按照如下步骤完成: 假设我要将自定义类CGraph持久化 1、继承CObject类 2、在类的定义中写下如下语句 DECLARE_SERIAL(CGraph) 3、在类cpp文件中写下如下语句 IMPLEMENT_SERIAL(CGraph, CObject, 1) 4、为CGraph写一个如下的构造函数(即默认构造函数) CGraph();
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 831
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值