10 2022 档案
摘要:“漏洞利用之王”HolesWarm挖矿木马新增大量攻击模块强势来袭 概述 近期,威胁情报团队在活跃家族监控中捕获到了HolesWarm挖矿家族的最新变种。在本次更新中,该病毒家族新增了19种漏洞利用手法,横向攻击模块更是达到了31个,基本覆盖了大多数政企单位常用的服务组件,危害极大,应及时更新对应补
阅读全文
摘要:win7: C:\Windows\system32>netsh int ip add address "Local Area Connection" 167.99.227.91 win10: Loopback 所有请求到167.99.227.91的都会到localhost。
阅读全文
摘要:第一 寻常断点 Ollydbg中一般下中断的方法,就是在程序的地址处用鼠标选择这一行。然后按F2键,这时被选择的那一行的地址会变成别的颜色,就表示这个地址处下了中断。然后运行程序时只有到这个地址处就会被Ollydbg中断。 这个方法用的比较多,所以把他称作寻常断点。 如果有命令行插件,就可以在命令窗
阅读全文
摘要:使用Windbg OllyDbg从头调试windows服务 https://toutiao.io/posts/akni2p/preview 补充:先设置下odb的jit支持。 JIT的设置方法x64dbg和ollydeg都有自动设置x64dbg:菜单栏选择 选项(o)->选项(p)->杂项->将这份
阅读全文
摘要:proxifier支持应用名或者IP端口直接转发:如下是示例 例如在恶意代码分析实战的实验里,看到恶意软件使用svchost发送网络请求: 我的proxifier设置如下: 然后使用nc伪造c2即可!80的可以用inetsim。
阅读全文
摘要:Proxychains.exe - Proxychains for Windows https://github.com/shunf4/proxychains-windows README | 简体中文文档 Proxychains.exe 是一个适用于 Win32(Windows) 和 Cygwin
阅读全文
摘要:病毒家族名称 hash dns请求域名 溯源pid 进程对应文件路径 是否真正恶意进程 麻辣香锅 0884de2c7ba6fb111e1483c46bfd35d4be634231719d6cec6a0b5dc7d09bd40f du.testjj.com 916 svchost -k netsvcs
阅读全文
摘要:【技术分享】解析APT29的无文件WMI和PowerShell后门 阅读量261264 | 发布时间 : 2017-04-07 15:10:14 x 译文声明 本文是翻译文章,文章来源:fireeye.com 原文地址:https://www.fireeye.com/blog/threat-rese
阅读全文
摘要:x64_dbg是一款功能开源且强大的Windows应用程序32位 64位调试器软件,其实说白了x64_dbg就是类似ollydbg(OD)的一款反编译软件。 An open-source binary debugger for Windows, aimed at malware analysis a
阅读全文
摘要:cff explorer中文版是一个强大的pe编辑制作工具,通过它能够高效地查看.net文件结构式,对文件中的多个脚本文件可以进行优化编辑。该版本为汉化版本,体积也十分地小巧,整个界面上更加的简洁,虽然多年已经不再更新,但是用户还是可以很放心的使用它进行pe相关工作的。 CFF Explorer汉化
阅读全文
摘要:sysmon里采集到的数据: + System - Provider [ Name] Microsoft-Windows-Sysmon [ Guid] {5770385F-C22A-43E0-BF4C-06F5698FFBD9} EventID 3 Version 5 Level 4 Task 3
阅读全文
摘要:官方源码地址: https://blog.kakaocdn.net/dn/buCuJU/btq2OpiKoTz/JIIGkCcw1xjLtsDt4yV5dk/%EC%86%8C%EC%8A%A4%EC%BD%94%EB%93%9C.zip?attach=1&knm=tfile.zip 虽然是韩语,但
阅读全文
摘要:逆向工程核心原理——第二十三章 虽然原版是针对win7 32位的 我自己使用vs2022 在win11 64位编译运行也是可以成功注入的 使用作者原版提供的代码,同时修改为64编译在我win7 64位的话也可以运行的 效果和win11同,也有一个debug窗口!修改为release模式编译即消除弹窗
阅读全文
摘要:Lab 19-1 ==》先申明下,因为缺失利用该shellcode的上下文,也就是漏洞利用的环境,所以分析起来非常蛋疼! 本次实验我们将会分析lab19-01文件。先来看看要求解答的问题 Q1.这段shellcode是如何编码的? Q2.这段shellcode手动导入了哪个函数? Q3.这段shel
阅读全文
摘要:脱壳存根 被加壳程序中的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节中。 脱壳存根执行了以下三步操作: 1. 将原始程序脱壳到内存中; 2. 解析原始可执行文件的所有导入函数; 3
阅读全文
摘要:先反编译看看: 函数在做base64加密: 验证下想法,果然: 后面的功能,就是在下载执行了: 我们分析下细节: 问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: 发现一个HTTP的G
阅读全文
摘要:Lab13-1 整体功能:向远程主机发送本机gethostname信息,该信息通过base64加密,远程请求的主机域名也被xor加密。 看下代码反编译的情况: 下面函数是从资源文件里提取加密的:www.practicalmalwareanalysis.com 使用了简单的xor加密: 接下来就是发送
阅读全文
摘要:一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 - 创建远程线程 (winxp有效,win7我没有运行成功,why?) 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被c
阅读全文
摘要:恶意代码分析实战Lab11-恶意代码行为 从本章开始,会见识各种恶意行为 笔记 下载器和启动器 下载器用来将恶意代码下载下来进行执行;启动器用来秘密加载恶意代码 后门(Backdoor) 后门程序往往实现了全套功能,不需要额外下载功能代码,有一套通用功能:注册表操作、文件操作等 反向Shell:从目
阅读全文
摘要:问题 1.这个程序做了些什么? sys里面反编译看到的: 从静态分析初步看,应该是sys rootkit方式注册的服务来运行恶意代码,sys里会删除什么东西。 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 实际运行,
阅读全文
摘要:Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题
阅读全文
摘要:Lab9-1:使用IDA Pro和OllyDbg分析恶意文件Lab9-1.exe,回答以下问题。 如何让这个恶意代码安装自身? 这个恶意代码的命令行选项是什么?它要求的密码是什么? 如何利用OllyDbg永久修补这个恶意代码,使其不需要指定的命令行密码? 这个恶意代码基于系统的特征是什么? 这个恶意
阅读全文
摘要:winxp运行该后门后: win7下: 运行前: 运行后还是一样,即便是用cmd管理员运行。看来该病毒只是适合在xp下运行。 Lab 7-3 静态分析strings + IDA pro 分析EXE 分析DLL 1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行? 2.这个恶意代码的两
阅读全文
摘要:恶意代码分析实战 第七章 实验部分 第7章 分析恶意Windows程序(实验) Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码 1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)? 1.2 为什么这个程序会使用一个互斥量? 1.3 可以用来检测这个程序的基于主机
阅读全文
摘要:第6章 识别汇编中的C代码结构(实验) Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码 1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1.2 位于0x40105F的子过程是什么? 1.3 这个程序的目的是什么? Lab 6-2:分析在文件L
阅读全文
摘要:问题:IDA Pro识别了在0x10001656处的子过程(函数)中的多少个局部变量? 当前版本的IDA,识别的是一个参数lpThreadParameter,以及62个参数 局部参数通常以var_开头,偏移值为负值,看红色部分;参数的偏移为正,看蓝色部分。 看恶意代码分袖实战里的截图:
阅读全文
摘要:恶意代码分析实战Lab0501 1.DllMain的地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 3.有多少函数调用了gethostbyname? 4.将精力集中在位于0x1000757处的对gethostbyname的调用,你能找出哪个DNS
阅读全文
摘要:笔记 动态分析基础,这部分还没涉及到看反汇编进行分析,主要是运行程序,然后通过监控软件检测程序运行的内容 使用沙箱查看运行报告,可以获取一部分信息 首先要在虚拟机上运行恶意代码: 如果是DLL,可以通过rundll32.exe DLLName, ExportFun来进行执行 如果是服务DLL,则需要
阅读全文
摘要:INetSim INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。 一 安装 从网上的反馈看
阅读全文
摘要:DNS Spoofing with APATEDNS 20th February 2015 Wannes.Colman Leave a comment If you quickly want to find out what the malware in your sandbox is resolv
阅读全文
摘要:Lab1-2 分析Lab1.2.exe文件 目录 Lab1-2 2. 是否有这个文件被加壳或混淆的任何迹象? 3. 有没有任何导入函数能够暗示出这个程序的功能? 4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进
阅读全文
摘要: www.virscan.org/language/zh-cn/ VirSCAN是一个非盈利性的免费为广大网友服务的网站,它通过多个国家不同的软件的病毒检测引擎对用户上传的可疑文件进行在线扫描,并快速将检测结果展现,从而让你快速判断文件的可疑程度。也是我个人比较喜欢,用的比较多的一个网站
阅读全文