利用注册表实现持久化的恶意代码分析

最新推荐文章于 2025-03-10 08:30:00 发布
原创 最新推荐文章于 2025-03-10 08:30:00 发布 · 596 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了一种恶意VBA宏技术,它通过生成XSL文件并利用Msxml2.XSLTemplate.3.0进行解析,最终执行经过解密的JS脚本来实现远程命令获取和服务端检测等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

代码sha256:8ea59c1e3054bc49c2b358eb73ccb59e5e662499bbc97d727c308291b270e06d

文件类型:doc文档

恶意代码类型:vba

在此文档的vb脚本中再次生成了一个xsl的文件,利用Msxml2.XSLTemplate.3.0对其进行解析:

 

 

 

xsl文件sha256:2946CA5BCB02F4406340C66E3621ADB0DD924174F4306AB5931325903533882F

其内部代码为:

经网页url编码转换器转换后发现其为对一段js代码解密执行:

上图为解密算法

解密出的文件为js脚本:

此脚本将变量data1存储到注册表:

图中,autoname为“loaderName”,regname为“data”。

此脚本同时实现服务端在线检测,受控端上线获取命令等操作:

http[:]//111.90.150.78/ww/loader.php?r=[random]         服务端存活检测/同时获取命令

对loader获取的响应解析

loader响应:

 

 

 

 

writeP
关注
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
杨秀璋的专栏
10-29 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Powershell基础入门知识,涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。这篇文章将从Powershell条件语句、循环语句、数组、函数 、字符串操作、注册表访问等方面讲解。Powershell被广泛应用于安全领域,甚至成为每一位Web安全必须掌握的技术。
74、恶意代码的隐蔽持久化
最新发布
qsc901234567的博客
06-17 18
本文深入探讨了恶意代码如何通过隐蔽持久化技术在目标系统中长期存在并持续运行。内容涵盖隐蔽持久化的定义、实现方法、具体技术细节以及应对策略,包括环境密钥管理、隐蔽通道、动态加密后门等核心技术,并结合StuxNet、Conficker和Duqu等实际案例分析其应用。此外,文章还介绍了进一步提高系统安全性的措施,如多层次检测、逆向工程技术、内核防护等,旨在帮助读者全面了解隐蔽持久化威胁并采取有效防范手段。
恶意代码——注册表
weixin_30885111的博客
11-20 458
AppInit_DLL(利用user32.dll) 通过AppInit_DLL特殊的注册表项,这样可以获取DLL的加载,因为AppInit_DLL中的DLL会在进程加载User32.dll时被加载 由于很多程序都是加载User32.dll,所以这些进程也会加载AppInit_DLL,恶意代码编写者通常只针对一个进程,(进行精准打击)所以为了排除没用的进程,恶意代码编写的payload...
恶意代码分析实战』Windows API编程——通过修改注册表的方式实现自启动
Ho1aAs‘s Blog
10-18 1514
# 前言 ## 实验要求 编写代码,编辑注册表的Run/RunOnce/RunOnceEx键(任选其一),达到让某一程序在系统启动后自动运行的目的(可以以计算器、记事本等作为目标程序)。 ## 实验环境 Windows 7或Windows 10主机(虚拟机); 代码编辑器; C/C++代码运行所需环境。 ## 实验目的 了解恶意代码自启动常用手段。
.NET 持久化技巧:通过 NtSetValueKey 绕过 API 监控实现注册表隐藏恶意文件
ahhacker86的专栏
03-10 395
首先,由或获取的注册表句柄,具体函数的声明如下所示。UIntPtr KeyHandle, // 已打开的注册表项句柄IntPtr ValueName, // 要设置的值名称int TitleIndex, // 标题索引,一般设为 0IntPtr Data, // 指向要写入的数据int DataSize // 数据大小。
持久化 - Windows
bylfsj的博客
11-01 604
5.2. 持久化 - Windows¶ 5.2.1. 隐藏文件¶ 创建系统隐藏文件 attrib +s +a +r +h filename / attrib +s +h filename 利用NTFS ADS (Alternate Data Streams) 创建隐藏文件 利用Windows保留字 aux|prn|con|nul|com1|com2|com3|com4|com...
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1427
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
恶意代码分析技术与工具实战指南
注册表信息也是重要的线索,因为许多恶意软件会修改注册表持久化自身或隐藏其存在。 网络信息获取工具对于理解恶意代码的网络行为至关重要。Sniffer类工具如Tcpdump和snort可以捕获网络流量,分析数据包内容,...
利用Windows遥测实现恶意持久性的技术分析
压缩包子文件的文件名称列表为“Telemetry-master”,这可能是包含相关恶意代码利用脚本或文档的压缩包文件名称。这个名字暗示了压缩包内容与遥测相关的恶意功能或技术是该项目或文档的主要内容。
BadArchitect - 滥用SketchUp在Windows上实现持久化的PoC.zip
07-18
2. **Windows持久化机制**:在Windows系统中,持久化是指恶意软件或攻击者能够在系统重启后仍然保持其功能的能力,这通常通过注册表键、服务配置、启动项等手段实现。 3. **PoC(Proof of Concept)**:PoC是一种...
恶意代码分析
for_mat_的博客
08-05 602
类型: virus 感染型病毒,侵入程序中 Worm 蠕虫病毒,传播性 Trojan 木马 远程控制,盗取账号信息等 Ransomware 勒索软件 加密文档 勒索比特币 APT 高级持续性攻击木马,窃取机密信息等 分析病毒四部曲: 提取样本,手工清理机器 行为分析,获取病毒行为 详细分析,找到行为的恶意代码的位置 提出解决方案 PCHunter:ARK工具,作用...
网安--第七章 恶意代码分析与防治
热门推荐
lishirong_李世荣的专栏
12-02 1万+
第7章 恶意代码分析与防治内容提要◎ 恶意代码的发展史和恶意代码长期存在的原因◎ 恶意代码实现机理、定义以及攻击方法◎ 恶意代码生存技术、隐藏技术,介绍网络蠕虫的定义以及结构◎ 恶意代码防范方法:基于主机的检测方法和基于网络的检测方法7.1  恶意代码概述代码是指计算机程序代码,可以被执行完成特定功能。任何食物事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。计算机程
恶意代码分析实战 Lab 7-2 习题笔记
isinstance的博客
09-26 1463
Lab 7-2问题1.这个程序如何完成持久化驻留?解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看 我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看第一个函数CoCreateInstance这个函数是这样的看
后门及持久化访问4----Com组件劫持
浅笑996的博客
07-01 1213
代码及原理介绍 COM是Component Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID,尽量选择应用范围广的CLSID。这里,我们选择的CLSID为:{b5f8350b-0548...
常见的几种Windows后门持久化方式
qq284489030的博客
05-09 2289
0×0 背景 持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
利用Office加载项进行持久化控制的6种姿势
weixin_34354173的博客
09-19 802
本文讲的是利用Office加载项进行持久化控制的6种姿势,现在,几乎所有用户都会使用Microsoft Office,它的普及率这么高,以至于攻击者经常会用它来实施大规模攻击。 本文就将为大家介绍通过Microsoft Office获得持久性攻击的各种机会,由于受到Kostas Lintovois写的“Windows Services – All ro...
注册表后门持久的思考
战神/calmness的博客
09-22 1013
目录 准备环境 过程 比较说明【可执行文件留持久后门】 结果上线!!! 或者 准备环境 windows10 虚拟机 Cobalt Strike【这里部署在Windows10上,服务器置于云上】 过程 远程木马控制了windows10虚拟机,利用Cobalt Strike 在Cobalt Strike下进入beacon 比较说明【可执行文件留持久后门】 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi
MFC中持久化实现
zhangtaohbwh的博客
08-23 1299
在单文档中实现自定义类的持久化,按照如下步骤完成: 假设我要将自定义类CGraph持久化 1、继承CObject类 2、在类的定义中写下如下语句 DECLARE_SERIAL(CGraph) 3、在类cpp文件中写下如下语句 IMPLEMENT_SERIAL(CGraph, CObject, 1) 4、为CGraph写一个如下的构造函数(即默认构造函数) CGraph();
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 789
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值