之前没学过bat,这里借分析顺便学一波,分析过程可能有点啰嗦 这里的@echo off关闭回显,病毒一般都是隐秘的执行的,然后setlocal enabledelayedexpansion是设置本地变量延迟,具体作用在这里:https://www.jb51.net/article/29323.htm @echo off&setlocal enabledelayedexpansion 这里的三个命令都是查找计算机里的超级用户,/v表示查询注册表值,>nul 2>nul表示无论执行成功还是…

[病毒分析]对一个vbs脚本病毒的分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如果发现文中有什么错误或者是有啥建议,可以直接留言给我,谢谢! 二.目录 整个分析过程可以分为以下几个部分:   0x00 准备工作   0x01 解密部分   0x02 功能分析 三.分析过程0x00 准备工作windows xp的虚拟机(在自己的windows下也可以做)vbs的一些基本语法 0x…

一直就想写这篇东西了,仅仅是上班时说要上班,不写.回家后又忙着玩游戏,丢一边去了.如今仅仅好不务正业的开写了.希望头儿不会知道我的blog.哈哈 在非常久之前就对HTML的病毒非常感兴趣了,非常好奇怎么能远程向本地不经过同意就能下载可执行文件的,仅仅是一直没机会搞得到ASP的原码,所以不才敢断章取义的去作什么分析.近期一次听一朋友说他看一个网页时病毒防火墙提示有病毒.叫我小心(先感谢一下他先),我闪了一下念头,就打开FlashGet把那个病毒首页下了下来. 略微看了一下发如今首页代码的以下几行里…

最近看了一点bat的知识,具体说是看了一个博客:http://blog.csdn.net/qsyzb/article/details/17364581 用了三天才看完=.=,感觉作者整理整理可以把博客当书买了... 然后自己突发其想,想到了一个小病毒程序,其实也算不上病毒,只能算是个恶作剧程序吧,其原理就是不断打开cmd程序,占用系统资源...呵呵..让大神见笑了=.= windows.bat start cmd %0 用户打开这个程序之后,程序就会不断打开cmd,占用系统资源,导致系统瘫痪.%…

一.基本信息 样本名称:hra33.dll或者lpk.dll 样本大小: 66560 字节 文件类型:Win32的dll文件 病毒名称:Dropped:Generic.ServStart.A3D47B3E 样本MD5:5B845C6FDB4903ED457B1447F4549CF0 样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03 这个样本文件是前面分析的Trojan木马病毒母体Rub.EXE释放到用户系统C:\WINDOWS\system32目录下…

Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全实验室2019-03-04共13635人围观 ,发现 1 个不明物体网络安全 2018年12月一款通过驱动人生升级通道下发传播的木马爆发,该木马同时利用了永恒之蓝高危漏洞进行传播,最终导致了仅2个小时受攻击的用户就高达10万,造成了严重的危害. 一.病毒信息 病毒名称:Trojan.Miner.gb…

[摘要]在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现. [Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0. 一.什么是病毒 恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是很重要的.我们要对付病毒,就要了解病毒.写一些病毒是一个很好的办法.如果要写…

样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过. 1．样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a2892c4b38d87f 病毒行为: 自删除,感染压缩包(zip.rar).释放lpk.dll文件 1.2 测试环境及工具 操作系统:win7 32位 操作工具:火绒剑.OD.IDA.MD5工具 1.3 分析目标 分析此病毒的恶意行为和生成相关文件. 2．具体行为分析 2.1 主要行为 病毒首先使用R…

原文来自:https://bbs.ichunqiu.com/thread-41359-1-1.html 病毒分析中关闭ASLR 分析病毒的时候,尽可能用自己比较熟悉的平台,这样可以大大地节省时间,像我就喜欢用xp了,然而有时候病毒非要在更高版本的系统上运行,如win7,server2008等.然而这些平台都使用了ASLR技术,每次od载入时,其映像基址都是会变化的,而你有时候需要计算一些地址,基址老是变,烦不烦? 那么我们要怎么关闭ASLR呢?这就要从ASLR技术背景开始说了. 微软从windo…

1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无壳 文件名 9-29_vir.exe(感染程序) 数字签名 NO 时间戳 2000年1月10日, 12:00:00 1.1 样本行为 恶意代码为感染型病毒,母体病毒通过将正常的PE文件进行加密,然后每个受感染的文件又可以进行全盘传播,通过连接国外IP服务器发送上线报文. 1.2 测试环境及工具 操作…

QQ链接病毒分析 特征 点击病毒链接后,自动会在每一时刻范围内通过所有途径群发新的病毒链接(途径包括Qzone,群聊等) 分析 首先看一下病毒链接的一个样例 http://news.soso.com/news/redirect_out.jsp?url=https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe 这个病毒十分狡猾,其感染链接打头的域名便是腾讯自己家的新闻网站soso新闻(从未听说过,但确实是鹅厂的),眨眼一看,这让一些稍懂网络知识的小白…

前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析. Process Monitor Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程. 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同…

一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A7FBDE071C2 文件SHA1:DA70DDC64F517A88F42E1021C79D689A76B9332D 二.分析样本使用的工具 IDA5.5 OnlyDebug RadASM Notepad++以及EditPlus 三.样本文件信息简介 PE文件的感染的方式比较多,很多PE感染的方式是…

Net6 Configuration & Options 源码分析 Part1 在Net6中配置系统一共由两个部分组成Options 模型与配置系统.它们是两个完全独立的系统. 第一部分主要记录配置系统 下面演示的几个实例具有一个共同的特征( 1. 将配置绑定为Options对象),即都采用配置系统来提供绑定Options对象的原始数据,实际上,Options 框架具有一个完全独立的模型,可以称为Options 模型.这个独立的Options 模型本身并不依赖于配置系统,让配置系统来提供配置数据…

每次开机都要取得本机IP,然后远程连接上去,屏幕太小,不好输入,想写个bat,执行就能看到IP,并且停留在cmd窗口上,想来简单,以前搜了好久没找到好的办法,今天找到一个贴子,竟然可以,呵呵!   以下三种办法都可以: 方法1 假设你的bat名字叫aaa.bat 你可以新开一个bat,内容是 start aaa.bat 然后这个新的bat是不会自动关闭的 方法2 要执行bat后不退出,可以在bat里的最后添加pause命令,暂停等你^^ (不过再按键盘就没了) 方法3 推荐!! 只要在bat文件…

怎么做一个bat文件 | 浏览:639 | 更新:2014-11-25 17:02 1 2 3 4 5 6 7 分步阅读 其实做一个.BAT文件很简单,下面我就以做一个清除系统垃圾.BAT文件为例,给大家做一个简单的介绍,首先新建一个文本文档,输入相关的代码(如果不会可以到百度搜索,复制一段代码就行了),关闭并保存这个文本文档,将.TXT后辍名改为.BAT就成了. 工具/原料 电脑 互联网 方法/步骤   首先我们新建一个文本文档,在空白处鼠标右键单击,点击新建,点击文本文档   将新建的文本文…

现在需求如下: 使用bat文件判断是否存在ktr文件,存在则运行pan.bat,执行kettle脚本. 代码如下: @echo off @title 批处理判断文件夹是否存在 cd /d F: rem 判断是否存在.ktr结尾的文件 if exist *.ktr ( cd F:\kettle\soft\pdi-ce-6.0.1.0-386\data-integration rem 执行另外一个bat文件 echo "开始运行另外一个bat文件" >>C:\Users\Oli…

要写一个批处理命令 转换场景数据 包括从文件里读入 每一行信息是一个要转换的场景名字 可以拼出路径 到指定路径 执行命令 http://blog.csdn.net/mfx1986/article/details/5606228 FOR /F %%i IN xx.txt DO xxxx 截取字符串 @echo off set ifo=abcdefghijklmnopqrstuvwxyz0 12 3456789 echo 原字符串(第二行为各字符的序号): echo %ifo% echo 12345…

原文:如何使用AdvancedInstaller在安装包中运行一个.bat文件 1,  首先要保证你的Files and Folders模块下的Application Folder文件夹下包含你要运行的.bat文件. 2,  在Custom Actions模块下的InstallExecuteSequence-> Install子模块上右击: 3,  第2步完成后就会出现如下界面 4,  点击Command Line右边的edit按钮,点击"file",选择要运行的.bat文件.…

一.为什么要提供配置的方法 经过前面的手写Spring IOC.手写Spring DI.手写Spring AOP,我们知道要创建一个bean对象,需要用户先定义好bean,然后注册到bean工厂才能创建一个bean对象.代码如下: static PreBuildBeanFactory bf = new PreBuildBeanFactory(); GenericBeanDefinition bd = new GenericBeanDefinition(); bd.setBeanClass(ABe…

简单摘要: 1.内网系统出现故障需要排查 2.运维人员不熟悉数据库操作,没法通过连接数据库和执行SQL语句的方式排查数据库及数据是否正常 3.解决方案:编写一个bat脚本,运维人员双击运行即可.   原文链接: http://www.lookdaima.com/WebForms/WebPages/Blanks/Pm/Docs/DocItemDetail.aspx?id=d861e977-87d1-4ac0-ab63-91dacb9ccc9e 背景说明:   车辆管理系统涉及2台服务器: 101:…

今天中了一个脚本病毒.把我的所有 html 加了 vbs 脚本: WriteData 是什么鬼? <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000…

用一个bat文件调用另外两个bat文件,当1.bat执行完后再执行2.bat 摘自:https://zhidao.baidu.com/question/492732911.html @echo off start d:\1.bat start c:\2.bat 这样是2个任务同时执行,应该怎么改,谢谢   1 2 3 4 5 6 7 8 9 @echo off   start /wait d:\1.bat start /wait c:\2.bat    @echo off   call d:\1…

新建一个bat文件,里面编写如下内容:@echo offcall 你bat文件的路径\startup.bat pause ----------------------------------------------------------------------------Call 命令 从一个批处理程序调用另一个批处理程序,并且不终止父批处理程序.call命令接受用作调用目标的标签.如果在脚本或批处理文件外使用 Call,它将不会在命令行起作用.语法call [[Drive:][Path] F…

spring boot开发,jar包一个一个来启动太麻烦了,写一个bat文件一键启动 @echo offcd D:\workProject\bushustart cmd /c "title EurekaServer- && java -jar EurekaServer-0.0.1-SNAPSHOT.jar"start cmd /c "title busms- && java -jar busms-1.5.9.RELEASE.jar"s…

Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一. Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取: 该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息: 此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害. 病毒样本分析 微…

http://blog.csdn.net/qq1084283172/article/details/50413426 一.样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32.Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC 二.行为具体分析 1.获取当前运行模块的命令行参数,根据当…

病毒行为: 1\将资源中的DLL释放到当前目录下 2\设置注册表,将GINA DLL设置为上一步中释放的DLL DLL行为: 1\在DLL被进程装载时, 装载正常的msgina.dll, 并保存句柄,用于后续调用,保证系统正常运行 2\在hook WlxLoggedOutSAS时, 将第七个参数中的敏感信息保存到文件中. 以下是详细分析: 在资源段中发现一个PE文件. 用IDA查看代码: 此程序先获取了本身的模块句柄,之后传入sub_401080进行操作: sub_401080中: 将资源段的资…

一.基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成: 病毒母体文件Rub.EXE   MD5:035C1ADA4BACE78DD104CB0E1D184043 病毒母体释放的文件owwesc.exe(随机…

一.情况简介   从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样本区看了看,有用户反映中了Android敲诈者病毒,就花时间分析了一下.该病毒欺骗用户是QQ空间刷赞的apk程序,诱导用户安装:一旦手机用户安装并且用户的手机已经被Root,那么该用户的手机就会中招,手机被锁定.该病毒与以往的敲诈者病毒相比,采用了比较巧妙的绕过杀软的小把戏.   二.样本基本信…