- 综合排序
- 最热优先
- 最新优先
- 来自专栏极安御信安全研究院
病毒专题丨 plugx病毒
一、病毒简述之前分析了一下,分析的较为简单,这次又详细分析了一下。 aTI4XehaTLSHT1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92Tagsrar,contains_pe二、环境准备系统版本Win7x86 四、静态分析1、病毒本体病毒本体拖入Ida,打开start,F5可以看到这里很纯洁,加载了wsc.dll,并调用run函数,我们继续调试wsc.dll中run函数。 我们动态附加病毒,跟进run函数,记录LocalAlloc函数申请空间地址,等for循环结束之后,二进制复制拷出这段内存,在010Editor中进行保存为文件,拖到Ida中,可以发现是一个dll。 之后在这里设置了程序自启动,结合病毒行为分析,这里的createProcess函数是启动了拷贝之后的exe,case1第二个函数是ExitProcess函数,这里很简单很简单,就到这里。
71120编辑于 2023-07-07 - 来自专栏数据结构与算法
病毒
【问题描述】 有一天,小y突然发现自己的计算机感染了一种病毒!还好,小y发现这种病毒很弱,只是会把文档中的所有字母替换成其它字母,但并不改变顺序,也不会增加和删除字母。 小y很聪明,他在其他没有感染病毒的机器上,生成了一个由若干单词构成的字典,字典中的单词是按照字母顺序排列的,他把这个文件拷贝到自己的机器里,故意让它感染上病毒,他想利用这个字典文件原来的有序性,找到病毒替换字母的规律 现在你的任务是:告诉你被病毒感染了的字典,要你恢复一个字母串。 【输入格式】virus.in 第一行为整数K(≤50000),表示字典中的单词个数。 以下K行,是被病毒感染了的字典,每行一个单词。 最后一行是需要你恢复的一串字母。 所有字母均为小写。 【输出格式】virus.out 输出仅一行,为恢复后的一串字母。 #include <cstdio> 4 #include <cstdlib> 5 #include <cmath> 6 int qm[27],sd[27],dy[27];// qm记录入度 7
1.7K70发布于 2018-04-12 - 来自专栏极安御信安全研究院
病毒丨熊猫烧香病毒分析
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型 :E334747CSSDEEP:768:Zf4LGjK09Rex9hq4gx9dtdiKosOOOf1G7mV/Wz3ETC7:Zf4LGjDeNA3diKCOOf4oG3NTLSH:T102D2D0E3770A58CDC1811CF0DCB347781994AC79AA0E83B9A911752D0E795FFAF42A35AuthentiHash ee0d0b18b39a36cf914131c260b08a27cd71a31b3be9a72d3ef7768cac57aec0impfuzzy:3:swBJAEPwS9KTXzW:dBJAEHGDWImpHash:87bed5a7cba00c7e1f4015f1bdae2183ICON 、OD火绒剑三、程序脱壳首先修改病毒后缀为exe,然后拖入PEID查看:FSG壳,拖入x32dbg中,F9运行到程序领空,然后分析代码,F8几步就会发现刚开始有一个大循环,F4跳出循环:然后继续F8就会发现又是一个循环 5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,
5.7K30编辑于 2023-03-31 - 来自专栏极安御信安全研究院
病毒丨文件夹病毒
479.50KBSHA256880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2SHA10c9dec73697f74a8657e538eef8016a515e6cbc0MD594861ecbc2fd8043fa5bd69d004cfe59CRC3221277D6CSSDEEP12288:+xckcFwY9rXkEzmMH+rffHD7bUiR1bW4OhsHKawSwFoUiXPlEw2VfRtkO :hbTXkEzmMH+rffHDXUQbW4OhsHKawSwcImpHash4e0669a977cfb6f0ea058755d10088e7二、环境准备系统版本Win7x86Sp1三、行为分析首先在沙箱里走一下添加火绒剑信任区 这里流程不是很清楚,可以结合流程图看,但主体功能就是拷贝新的病毒,设置注册表隐藏文件不可见,加入自启动。 五、总结这个病毒是delphi写的,总体功能就是释放各种病毒子体,加入自启动,设置文件隐藏,设置隐藏文件不可见,判断日期之后对文件进行一个删除操作。 释放资源病毒,由于在我虚拟机没体现出这些行为,也就没有分析。同时在我物理机不小心运行了一下,结果F盘文件被隐藏了,然后替换成同名exe:
1.3K10编辑于 2023-05-19 - 来自专栏全栈程序员必看
病毒分析四:steam盗号病毒
三、样本信息 MD5值:a835a69b4ef12a255d3d5b8c5d3f721c SHA1值:201566a7f058d8147bb29486a59151fc7240d04f CRC32校验码 到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。 结合原先病毒的传播方式,大概率会找到此进程。 然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。 7)、程序接着通过地址为0x4311C6的函数进行QQkey盗号,接着通过qq邮箱改steam密码 向远处服务器请求,获取到pt_local_token参数 带着` pt_local_token`
3.7K30编辑于 2022-09-19 rx勒索病毒,rx勒索病毒爆发,rx勒索病毒数据库修复
RX勒索病毒:数字时代的隐形绑匪RX勒索病毒的可怕之处在于它的“专业”——它不仅加密你的文件,更会精准定位企业命脉:数据库。 我们的不同:不只是解密,更是系统性重生第一层:深度解密,不止于恢复文件我们拥有国内罕见的RX病毒变种样本库和动态分析能力。 时间线:第1小时:我们的应急响应团队远程接入,开始感染控制第5小时:完成病毒样本分析,确定是RX-2024最新变种第14小时:开发出定制化解密工具,开始第一批数据验证第36小时:核心订单数据恢复完成,系统部分恢复运行第
15410编辑于 2026-02-02- 来自专栏数据结构与算法
04:病毒
04:病毒 查看 提交 统计 提问 总时间限制:1000ms内存限制:65535kB描述 有一天,小y突然发现自己的计算机感染了一种病毒! 还好,小y发现这种病毒很弱,只是会把文档中的所有字母替换成其它字母,但并不改变顺序,也不会增加和删除字母。 现在怎么恢复原来的文档呢! 小y很聪明,他在其他没有感染病毒的机器上,生成了一个由若干单词构成的字典,字典中的单词是按照字母顺序排列的,他把这个文件拷贝到自己的机器里,故意让它感染上病毒,他想利用这个字典文件原来的有序性,找到病毒替换字母的规律 现在你的任务是:告诉你被病毒感染了的字典,要你恢复一个字母串。 输入virus.in 第一行为整数K(≤50000),表示字典中的单词个数。 以下K行,是被病毒感染了的字典,每行一个单词。 include<cstdio> 3 #include<cstring> 4 #include<stack> 5 #include<cstdlib> 6 #include<cmath> 7
1.2K60发布于 2018-04-12 - 来自专栏紫禁玄科
勒索病毒
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 (图片来源于网络) 和之前一些病毒不同,黑客开发这种病毒并不是为了炫技地攻击电脑的软硬件)而是为了索财。当电脑受到病入侵之后・电脑当中的文件会被加密,导致无法打开。 20多个国家的语言,可见病毒设计者的野心是多么庞大, 如果电脑中了这种病毒,硬盘中的文件会被AES+RSA4096位算法加密。 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。 病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。 如何感染了哪个勒索病毒家族 在已经感染中毒的机器上找到相应的勒索病毒样本、勒索病毒勒索信息文本,勒索病毒加密后的文件,将这些信息上传到该网站,可以得出是哪个中的哪个勒索病毒家族,然后去找相对应的解密工具
1.9K10编辑于 2022-03-24 - 来自专栏FreeBuf
病毒事件取证之如何确认中了病毒
这我将取证分析分为两个方向:完整结构的病毒取证和非完整结构的病毒取证,此次主要分享非完整结构的病毒取证。 注释:这里的取证分析只针对病毒类似和病毒的特征,也只不会探寻病毒带来的危害;取证之大,非我所能贯通,仅说我之能。另外也不会探讨设备是如何遭受病毒入侵。 2.1完整结构的病毒取证 完整结构的病毒取证这里我列举的病毒为WannaMine挖矿病毒,该病毒的特征表现强,很容易识别。特征如下: 特征1:出现以下文件及目录 ? 因此完整结构的病毒取证很容易,通过病毒特征、文件、进程、服务等可以判断该病毒信息,确认病毒后处理也较为容易,可手工、可杀软,看个人爱好。 2.2非完整结构的病毒取证 非完整结构的病毒取证较为困难,困难点在于无法通过病毒特征,文件进程、服务等进行判定,因为病毒结构已不完整。
1.5K10发布于 2020-05-14 - 来自专栏极安御信安全研究院
病毒分析丨一款注入病毒
作者丨黑蛋一、病毒简介SHA256:de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45MD5:6e4b0a001c493f0fcf8c5e9020958f38SHA1 :bea213f1c932455aee8ff6fde346b1d1960d57ff云沙箱检测:二、环境准备系统Win7x86Sp1三、行为监控打开火绒剑,打开样本:可以看到这里释放了部分隐藏文件,以及进行了网络链接
1.1K20编辑于 2023-06-01 - 来自专栏极安御信安全研究院
病毒丨3601lpk劫持病毒分析
一、病毒简介 文件名称: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb 文件类型(Magic): PE32 executable Intel 80386, for MS Windows 文件大小: 52.50KB SHA256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU ImpHash: bdd8c968182d3c29007cb3a7a7e8fe4c 二、环境准备 系统 win7x86 三、行为分析 接下来借助火绒剑查看一下行为。 ,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作; 否:启动病毒服务–设置键值–删除原病毒
1.1K00编辑于 2023-04-11 - 来自专栏全栈程序员必看
c语言病毒源码讲解,【病毒】震荡波病毒C语言源码「建议收藏」
,0x18,0xD9, 0x9A,0x19,0x99,0xF2,0xDF,0xDF,0xDE,0xDE,0x5D,0x19,0xE6,0x4D,0x75,0x75,0x75,0xBA, 0xB9,0x7F 0xDE,0x18,0xD9,0x9A,0x19,0x99,0xF2,0xDF,0xDF,0xDE, 0xDE,0x5D,0x19,0xE6,0x4D,0x75,0x75,0x75,0xBA,0xB9,0x7F
2.6K20编辑于 2022-07-29 - 来自专栏勒索病毒
服务器中了malox勒索病毒勒索病毒,勒索病毒解密数据恢复
malox勒索病毒是一种近期出现的勒索软件,它是mallox勒索病毒升级的后加密程序,malox勒索病毒利用了一些新的加密算法对用户的重要数据进行加密,这样用户便失去了访问这些文件的能力,之后,攻击者会通过 Malox病毒蔓延速度极快,对用户产生的影响也十分严重。以下是关于malox勒索病毒的介绍。 malox勒索病毒具有无处不在的实时监控能力,在用户打开或调用文件时立即启动加密程序,这使得malox勒索病毒变得异常智能,很难被传统防病毒软件捕获。 此外,malox勒索病毒还具有一些变异和克隆技术,能极大地增加不同版本的变异型病毒的数量。malox勒索病毒通常通过垃圾电子邮件、文件共享、漏洞利用和恶意软件捆绑等方式进行传播。 当malox勒索病毒感染了用户的机器后,初期便会在用户文件夹下创建一个恶意文件夹,防止病毒扩散。之后,病毒会搜索用户计算机上的各种类型的文件,并将其加密,包括文档、图片、音频等类型的数据。
1.4K20编辑于 2023-04-28 - 来自专栏全栈程序员必看
wannacry病毒作者_wannacry病毒利用了哪种漏洞
SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32: 9FBB1227 1.2测试环境及工具 VMware + win7 32位 + PEID + OD + IDA + 火绒剑 + PCHunter 2.病毒行为 大量文件被加密,后缀名为.WNCRY 每隔一段时间弹出勒索窗口 桌面背景被强制更换 3.恶意代码分析 病毒执行后会尝试连接 .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z ,由于病毒会检测是否创建互斥体MsWinZonesCacheCounterMutexA,用户可自行创建此互斥体,这样病毒检测到互斥体就不会进行加密操作 3.4 因为病毒是生成加密过的用户文件后再删除原始文件 但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。
79730编辑于 2022-11-07 - 来自专栏大大的小蜗牛
WannaCry 勒索病毒
这几天 WannaCry 勒索病毒肆虐,重灾区看起来恰恰是看来起知识水平更高的高校和政府部门,不得不让人感叹。 就像这次勒索病毒事件,早在 3 月份的时候,微软就已经发布的安全补丁,而且微软还破例为早已停止支持的 XP 和 2003 也提供了这个补丁。但是上面提到的某些安全卫士居然屏蔽了这个补丁!!!
1.8K10编辑于 2022-12-20 - 来自专栏安恒信息
WhatsApp病毒来袭
昨天下午,安全实验室监测发现,一款“伪WhatsApp”病毒正在Android平台上大肆传播,该病毒一旦激活,会欺骗用户消费购买软件,给手机用户造成严重的资费消耗。 据安全专家分析,该病毒会伪装WhatsApp应用进行传播,用户安装后手机显示的名称为WhatsApp和AndroidDefender的图标。 点击图标后,病毒即被激活,然后会加载预先设定好的虚假病毒信息列表,假装手机已经感染一系列的病毒,欺骗用户。 该病毒安装后,还会监听短信广播、网络连接广播、闹铃广播等,当接收到这些广播行为时,就发出通知栏提示,并弹出一个页面,告诉用户扫描到新病毒,其实这个所谓的病毒也是预先设定好的虚假信息。
1.6K30发布于 2018-04-10 - 来自专栏全栈程序员必看
WannaCry勒索病毒_永恒之蓝病毒攻击原理
Wannacry“永恒之蓝”勒索病毒最全防范措施 防范措施1:安装杀毒软件,立即给电脑打补丁! 防范措施2:Windows用户可手动关闭端口和网络共享 防范措施3:尽快将你所有重要文档资料云端备份 防范措施4:小心驶得万年船 WannaCry(永恒之蓝)的电脑勒索病毒正在全球蔓延,这个病毒的发行者是利用了被盗的美国国家安全局 (NSA)自主设计的 Windows 系统黑客工具 Eternal Blue,一款勒索病毒进行升级后的产物被称作 WannaCry。 在电脑感染病毒后,电脑里的所有数据都会被加密,用户完全打不开,接着屏幕会弹出消息框,要求受害人在三天内支付300美元同等价值的比特币赎金,超时翻倍。因此,这款勒索病毒别名也叫‘比特币病毒’。 防范措施4:小心驶得万年船 1.加强自身防护 首先及时更新操作系统漏洞补丁、程序软件、杀毒软件病毒库。
1.6K30编辑于 2022-11-09 - 来自专栏全栈程序员必看
永恒之蓝勒索病毒_2019勒索病毒专杀
ip:192.168.15.174 winsever 2003 :需要装上python环境,勒索病毒攻击机。ip:192.168.15.141 win2007 :靶机,确保445端口开启。 ip:192.168.15.144 永恒之蓝利用脚本shadowbroker-master以及勒索病毒wcry.exe,脚本shadowbroker-master的文件夹放在server2003 C盘根目录下,勒索病毒在kali的根目录下。 Pack, and Architecture of target OS 0) XP Windows XP 32-Bit All Service Packs 1) WIN72K8R2 Windows 7
1.4K20编辑于 2022-11-03 - 来自专栏生信喵实验柴
变种病毒识别
按照 WHO 最新命名规则,最早于 2020 年 9 月发现于英国的新冠变种病毒(编号 B.1.1.7)被命名为 Alpha;2020 年 5 月发现于南非的新冠变种病毒(编号B.1.351 )被命名为 其中目前 Delta 病毒具有最强的感染性和致病性,并且能够突破疫苗的免疫屏障,有可能导致新一轮的全球疫情大流行,需要特别的关注。更多关于 WHO 关于新冠病毒变种株的命令点击下方链接地址。 利用 Pangolin 进行变种病毒鉴定 pangolin 用于对新冠病毒序列进行家系分析,目前已经将全球测序得到的新冠病毒序列进行了一套专门的家系分类术语,例如 B117,B1351,B.1.525 目前国际上已经对新冠病毒突变株进行了系统分类命令。 使用 pangolin 系统,只需输入新冠病毒序列,即可快速得到突变类型信息。与我们上一节中介绍的新冠病毒变种识别的方法类似。
57010编辑于 2022-04-07 - 来自专栏全栈程序员必看
排查挖矿病毒
而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 ,一般常规做法是 1、查找出具体哪个进程导致占比CPU;比如269; 2、kill 掉该挖矿进程;sudo kill -9 48124; 3、通过关键词查找挖矿病毒,一般在/tmp 目录底下,如果不清楚查找 ,直接删除/tmp 目录底下的所有文件; 4、要排查和删掉相关的定时脚本; 4、观察服务器一段时间,查看病毒是否还存在。 说明挖矿病毒是通过早期开放的外网22号端口进行入侵,然后别人用爆破的方式通过22端口植入病毒,root等账号密码被破解。 /agent_installer.sh 5、执行完成,终端的agent程序将自动连接EDR管理中心 通过云查杀病毒 口令检测 SSH策略检测 身份鉴别策略组检测 对一些已感染的文件进行隔离病毒
1.2K10编辑于 2022-07-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号