Trojan.Backdoor分析】的更多相关文章

总结:这是一个HTTP的后门,以安装(-in)||移除(-re)||配置(-c)为目的运行此程序时, 必须指定abcd为最后一个参数. 安装时他会把自身拷贝到%SYSTEMROOT%\WINDOWS\system32目录下,并创建一个自启动服务来保证其可持续性. 安装之后, 该后门会从注册表中得到服务配置信息, 并向远程服务器发送HTTP/1.0 GET请求,根据请求的返回值,解析成参数,指导恶意软件的行为--共有五种:SLEEP UPLOAD DOWNLOAD CMD NOTHING. 此五种…
1.SSH后门分类 SSH后门方式有以下几种 软链接 SSH Server wrapper SSH Keylogger 2.软链接 利用方法 [root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333; 排查方法 [root@helen]# netstat -anop 通过开发端口信息的PID查询进程路径,[ll /proc/xxxx]命令查看程序对应的路径. 清除后门 kill -9 pid rm -rf 后门程序 3.SS…
http://nmap.org/bennieston-tutorial/ 实例:nmap -sP 192.168.21.* Contents 1  Introduction Nmap is a free, open-source port scanner available for both UNIX and Windows. It has an optional graphical front-end, NmapFE, and supports a wide variety of scan t…
基于Bert从Windows API序列做恶意软件的多分类 目录 基于Bert从Windows API序列做恶意软件的多分类 0x00 数据集 0x01 BERT BERT的模型加载 从文本到ids 从ids到词嵌入.分类 是否需要训练bert的参数? 0x02 数据预处理 0x03 模型框架和代码 0x00 数据集 https://github.com/ocatak/malware_api_class 偶然间发现,该数据集共有8种恶意软件家族,数量情况如下表. Malware Family S…
Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全实验室2019-03-04共13635人围观 ,发现 1 个不明物体网络安全 2018年12月一款通过驱动人生升级通道下发传播的木马爆发,该木马同时利用了永恒之蓝高危漏洞进行传播,最终导致了仅2个小时受攻击的用户就高达10万,造成了严重的危害. 一.病毒信息 病毒名称:Trojan.Miner.gb…
http://blog.csdn.net/qq1084283172/article/details/50413426 一.样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32.Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC 二.行为具体分析 1.获取当前运行模块的命令行参数,根据当…
洒家的朋友的公司的某个站发现最近被上传了一个后门程序.为了取证我们抓取了HTTP请求流量,看到了一堆莫名其妙看似经过混淆的请求,响应也是看似base64的乱码.洒家用了2个小时静态分析了一遍,并写了利用脚本.后门程序看似是乱码,实际上经过了混淆,通过eval()可以执行任意PHP命令.由于混淆得很乱,做起来实在把洒家恶心了一番. 后门源代码: <?php /** * Signature For Report */$h='_)m/","/-/)m"),)marray()m…
一.原理与实践说明 1. 实践目标 1.1 监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systracer套件. 1.3 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质. 2. 实践内容概述 2.1 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在…
一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以用window7自带的schtasks,或者下载Sysmon进行对电脑的监控,不过分析起来,需要每一个都点开看,比较繁琐.或者使用wireshark抓包检测流量等进行分析,对于每一包分析起来有很多数据进行辅助,比如端口信息啦,源ip地址啦:或者使用PE Explore分析恶意软件里的内容,还有就是病毒分析网站自带的文进行文分析报告,我们…
2018-2019-2 20165315 <网络对抗技术>Exp4 恶意代码分析 一.实验要求 1.系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述一下分析结果. 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为. 2.恶意软件分析 分析该软件在 启动回连 安装到目标机 及其他任意操作时(如进程迁移或抓屏) 该后门软件 读取.添加.删除了哪些注册表项 读取.添加.删…