摘要:
又是一个比较菜的木马分析,很久以前的木马,大家不要见笑。不积跬步无以至千里,我还是慢慢来呵呵。利用telent可以远程登录基本信息 报告名称:mini木马分析 作者: 报告更新日期: 样本发现日期: 2012.09.11 样本类型: 样本文件大小/被感染文件变化长度: 样本文件MD5 校验值: 样本文件SHA1 校验值: 壳信息: 可能受到威胁的系统: 相关漏洞: 已知检测名称: 简介远程登录木马网络症状被监听的端口 999详细分析/功能介绍1.隐藏窗口2.绑定999端口3.监听等待客户端的连接请求4.连接客户端5.远程登录预防及修复措施设置防火墙,关注杀软提示.text... 阅读全文
摘要:
端口扫描:端口扫描的目的:判断目标主机上开放了哪些服务,判断目标主机的操作系统。如果入侵者掌握了目标主机开放了哪些服务运用何种操作系统,他们就能够使用相应的手段实现入侵。端口的基本概念常见公认端口端口扫描原理:TCP报文结构:TCP协议只定义了一种报文格式建立、拆除连接、传输数据使用同样的报文TCP报文格式TCP报文段首部(20个字节)源端口和目的端口:各占2个字节,16比特的端口号加上32比特的IP地址,共同构成相当于传输层服务访问点的地址,即“插口”;这些端口可用来将若干高层协议向下复用;序号字段和确认序号字段:序号:占4个字节,是本报文段所发送的数据部分第一个字节的序号。在TCP传送的数 阅读全文
摘要:
附件:http://bbs.pediy.com/showthread.php?p=1097416#post1097416dll部分这里面的建立service部分没搞明白,以前没有接触过不知道起到什么作用的求教啊。。。功能分析:1.提升进程权限2.判断dll运行环境3.释放文件,创建服务(这几个api以前没见过还没搞懂)4.创建线程,下载文件(url: http://c.shidaihuabian.com/s.gif)部分反汇编代码:Dll入口DllEntryPoint proc near.text:10001510.text:10001510 dllpath = byte ptr -140h. 阅读全文
摘要:
算是第一次自己分析一个完整的木马,时间花费很长释放的dll还没来及分析后面会跟上。好多api都是刚刚查过才知道。很简单大家不要吐槽啊。附件里面有idb和原文件 还有脱壳后的文件。欢迎大家批评指教附件:http://bbs.pediy.com/showthread.php?p=1090998#post1090998基本信息 报告名称:ye.exe下载者木马分析 作者: 报告更新日期:2012.7.29 文件名称:9648c7cc2f01d7b67718cb89a48d927e 文件哈希:9648c7cc2f01d7b67718cb89a48d927e 文件大小:31528字节 创建时间:20.. 阅读全文
摘要:
1.通过LookupPrivilegevalue等函数GetCurrentProcessID 得到当前进程的ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程的权限 AdjustTokenPrivileges 判断令牌权限 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要当前进程具有SeDeDebug权限就可以了。要是一个用户是Administrator或是被给予了相应的权限,就可以具有该权限。可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProces 阅读全文
摘要:
这是看雪上的一篇文章。原题叫做C语言实现的EPO不过我觉得叫inline hook更合适。动手实践了一遍虽然中间有点小波折但是最终成功了。我作了更多的注释以便理解,尤其是PE 的call jmp 特性开始不清楚导致没能明白跳转回原来的api的真实地址。希望对有兴趣的人有帮助。vc6.0完成后最好能动态调试一下,会有惊喜发现。main()函数找来找去我才找到的。不只是什么原因360没报毒。如果想进行大规模感染就对磁盘的pe文件进行搜索。但是值得注意的是如果感染了一个没有加载user32的pe文件,或者程序改变了该dll加载的默认地址将会产生错误暴露自己。// EPO.cpp : 定义控制台应用程 阅读全文
摘要:
启动函数:如果认为程序是从main(),winmain()开始执行的那就大错特错了。首先被执行的是启动函数相关代码,这段代码都是有编译器生成的。启动函数完成初始化进程在调用main函数。对于vc程序来说可以再 中找到启动函数的源代码,对于控制台程序源代码在 中。所有c/c++程序运行启动函数的基本作用都是相同的:1,获取指向新进程的完整命令行的一个指针;2,获取指向新进程的环境变量的一个指针;3,初始化C/C++运行库的全局变量4,内存堆栈初始化等当操作完毕后调用main函数。Windows应用程序必须有一个在程序启动时调用的进入入口函数。可以使用的函数有四个:main()wmain()win 阅读全文
摘要:
搜索整个ENT (Addressofname)表对要搜索的api进行匹配if(Addressofname+number)= offsetof api_string得到的number既是对应的addressofnameordinals的下标num(addressoffunctions中的序号)=nbase(检索基数)+addressofnameordinals【number】api_address(要搜索的api地址)=addressoffunctions+(num)*4 阅读全文
摘要:
报告名称:explore.exe导出表感染病毒分析 作者:未知 报告更新日期:2012.6.22 样本发现日期:未知 样本类型:文件感染 样本文件大小/被感染文件变化长度:0048K 样本文件MD5 校值:无 样本文件SHA1 校值无 壳信息:无 可能受到威胁的系统:Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Terminal Services EditionMicrosoft Windows 2000Microsoft Windows XPMicrosoft Windows Server 2003Microsoft Wi... 阅读全文
摘要:
基本信息 报告名称:带加密简单病毒 分析 作者: 报告更新日期: 2012.07.13 样本发现日期: 样本类型: 样本文件大小/被感染文件变化长度: B01h 样本文件MD5 校验值: 样本文件SHA1 校验值: 壳信息: 可能受到威胁的系统:Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Terminal Services EditionMicrosoft Windows 2000Microsoft Windows XPMicrosoft Windows Server 2003Microsoft Windows vista... 阅读全文