摘要:
1、前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔记记录。 2、volatility Windows命令 与分析Linux镜像相似,而Windows系 阅读全文
摘要:
1、网络特征 2、文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。 3、受感染特征 参考: 【病毒分析】Virut.ce 感染型病毒分析报告 http://www.cnblogs.com/17bdw/p/7776877.html 4 阅读全文
摘要:
一、取证特征 1)网络域名特征 2)文件特征 母体文件 3)系统现象 CPU占用率100% 4)系统补丁号 二、已感染病毒主机处置 1)感染主机处置 针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。 如果内 阅读全文
摘要:
一、取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息。 用lsof查看某个路径下的进程列表,木马文 阅读全文
摘要:
命令翻译 命令示例 https://github.com/volatilityfoundation/volatility/wiki/Command Reference consoles 通过volatility从内存导出文件 1)导出某个进程的内存数据 2)导出某个进程的DLL 阅读全文
摘要:
虚函数存在是为了克服类型域解决方案的缺陷,以使程序员可以在基类里声明一些能够在各个派生类里重新定义的函数。 1 识别简单的虚函数 代码示例: #include "stdafx.h" #include <Windows.h> class CObj { public: CObj():m_Obj_1(0x 阅读全文
摘要:
1、前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本。 2、实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。 CertUtil的一个特性是能够 阅读全文
摘要:
4.2、PowerShell 为了保障木马样本的体积很小利于传播。攻击者会借助宏 WMI Powershell的方式下载可执行文件恶意代码。最近也经常会遇见利用Powershell通过Windows自带的组件执行系统命令绕过UAC下载文件手法的文章。 UAC:用户帐户控制(User Account 阅读全文
摘要:
1、前言 无意间发现hexacorn这个国外大佬,给出了很多通过rundll32执行DLL中的函数执行程序的方法,思路很灵巧。 2、原理 rundll32加载dll 用法: 参数代表传入dll的导出函数名,在dll中定义如下: 参数对应dll导出函数中的LPSTR lpszCmdLine 也就是说通 阅读全文
摘要:
1、前言 在2016年左右研究人员发现一个与东南亚和中国南海问题的APT攻击,该APT攻击利用MS Offcie系列漏洞通过钓鱼邮件的形式欺骗受害者点击木马。以美国在内的各国政府和公司为目标发送了大量的恶意代码样本 。 其中木马上线的方式是利用了白名单网站的方式。攻击者将控制端的IP地址加密后发表文 阅读全文