- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈程序员必看
病毒分析四:steam盗号病毒
a835a69b4ef12a255d3d5b8c5d3f721c SHA1值:201566a7f058d8147bb29486a59151fc7240d04f CRC32校验码: eb6e36f1 四、样本分析 到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。 结合原先病毒的传播方式,大概率会找到此进程。 然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。 QQkey盗号,接着通过qq邮箱改steam密码 向远处服务器请求,获取到pt_local_token参数 带着` pt_local_token`,对本地端口进行请求,获取所有账号信息 for循环分析每个账号信息
3.6K30编辑于 2022-09-19 - 来自专栏极安御信安全研究院
病毒丨熊猫烧香病毒分析
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型 section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为 exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串 5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表, 然后拖到IDA中静态分析就可以了。
5.7K30编辑于 2023-03-31 - 来自专栏极安御信安全研究院
骷髅病毒分析
一、病毒信息 病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86 四、行为分析 首先我们需要将病毒样本加入火绒软件信任区,让火绒不要干扰病毒程序运行,接下来打开火绒剑: 点击开始监控,然后双击运行骷髅病毒,首先可以看到骷髅病毒本体已经不见: 接下来进行过滤: 在这里我们可以详细的看到骷髅病毒的所有行为,简单的根据动作过滤来看一下病毒行为: 可以看到这里是创建了一个新的EXE,最后通过cmd删除本体。 五、静态分析 把脱壳后的1.exe拖入Ida,找到WInMain,F5: 这是主函数,相应注释都在上面: 然后进入sub_405A52(),就是简单判断自己创建服务是否已经被创建,服务名称是15654656 回到上一层,继续往下看,生成随机名称,拷贝自身在Windows目录下: 接下来就是对服务的创建启动等操作: 最后来到sub_40355B: 跟进去,可以看到这是一个删除文件函数,根据之前的行为分析
92710编辑于 2023-03-15 - 来自专栏全栈程序员必看
挖矿病毒分析
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/130081.html原文链接:https://javaforall.cn
1.4K10编辑于 2022-08-10 - 来自专栏极安御信安全研究院
病毒分析丨一款注入病毒
作者丨黑蛋一、病毒简介SHA256:de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45MD5:6e4b0a001c493f0fcf8c5e9020958f38SHA1 四、调试分析由于其中有很多需要解密部分,所以这次动静结合分析。
1.1K20编辑于 2023-06-01 - 来自专栏极安御信安全研究院
病毒丨3601lpk劫持病毒分析
dll: 随后就是网络链接操作了: 可以看到一直在进行发包收包操作,结合沙箱的分析结果: 可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520 .org 总结一下就是释放dll,网络链接; 四、静态分析 拖入PEID,啥也没,应该是被脱过了: 拖入IDA中,直接在winmain函数处F5: 4.1、sub_405A52 可以看到这里是一个简单的判断服务是否启动 五、hra33.dll分析 看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5: 5.1 六、病毒总体思路总结 首先开始运行,判断是否有病毒的注册表: 是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll– 线程1(家里IPC链接,局域网内传播 ,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作; 否:启动病毒服务–设置键值–删除原病毒
1.1K00编辑于 2023-04-11 - 来自专栏信安之路
Sodinokibi 病毒分析报告
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。 反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ? 最后修改其标志位可以让沙箱正常把病毒跑起来了。 GandCrab5.2 和他的继承者 Sodinokibi 都使用了此反沙箱的技术手段。 病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作 据其病毒家族中的成员行为分析,其中配置文件中如果“exp”字段为“true”,则使用漏洞 CVE-2018-8453 通过提升特权执行 32 位或 64 位 shell,但此分析的版本字段为 false
2K30发布于 2019-09-25 - 来自专栏FreeBuf
Mydoom蠕虫病毒分析
a3006cc68638ab4fc24f092bf6563291f2e237fe4e86159a08bb5443d499828d 壳类型 UPX 家族 Mydoom 传播方式 邮件 主流程图 主程序 病毒使用 upx壳加密,先使用工具或手动脱壳 病毒先初始化套接字和线程ID便进入主函数: 在主函数中,判断注册表的shell键值是否存在,不存在则创建: 接着在临时目录或系统目录下释放一个动态库并加载运行 继续主线程往下分析,样本会打开c盘根目录下的init文件,读取里面的文件,但我主机上没有此文件,对于他要做啥也是不明所以。 Aigu.dll分析 此文件依旧是使用upx加壳,脱壳后发现函数并不多,主函数逻辑也比较简单: 样本会开启本地的1080端口等待服务端的连接: 一旦连接成功,便创建线程。 分析过程中没有连接成功,只能通过静态分析猜测,服务端会发送命令过来,然后病毒根据不同的命令执行不同的动作: 同时病毒还有关闭杀软的操作: 总结 随着技术的迭代更新,攻击者的伪装技术也随之发展
94320编辑于 2023-04-18 - 来自专栏极安御信安全研究院
木马病毒分析
一、病毒简介这款木马从恶意网址下载东西,然后修改本地文件;SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07MD5 :56b2c3810dba2e939a8bb9fa36d3cf96SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc二、行为分析首先看看微步云沙箱分析:恶意服务器网址 三、静态分析首先查壳:通过x32dbg脱壳:看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:走到ret,进入OEP脱壳:注意一下OEP这里:接下来拖到IDA中,根据之前OEP 当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。
1.7K50编辑于 2023-08-24 - 来自专栏极安御信安全研究院
病毒分析丨plubx
aTI4XehaTLSHT1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92Tagsrar,contains_pe二、环境准备系统版本Win7x86SP1三、动态分析用火绒剑观察一下 四、静态分析exe没有什么东西,很简单一个加载dll,然后调用run函数:分析dll,直接搜索run,找到run跟进去到了sub_10001BF0:接下来是一部分代码注释:最后return的函数里面是一个 接下来有三个case,直接看注释:case1:case2:sub_100153A0():case3:五、总结很简单的一次分析,基本所有函数都不需要自行猜测,都是通过GetProcAddress函数获取, 所以没有太详细分析,修改了函数名。
39330编辑于 2023-05-25 - 来自专栏逆向技术
病毒分析第二讲,分析病毒的主要功能
病毒分析第二讲,分析病毒的主要功能 经过昨天病毒分析第一讲,得出一个被注入的DLL 开始分析DLL主要功能 PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看 ,只看重要的API 一丶行为分析(创建命名互斥体,防止病毒多开) ? 进入函数去看,从DLLmain入口点分析. ? 得出,第一步,病毒为了防止重复注入IE,创建命名互斥体. 四丶网络相关 此病毒还涉及到网络相关,但是现在这个病毒现在也链接不了服务器了.所以网络相关的掠过 如果想明白原理,建议自己跟一下看下也可以. 鉴于时间关系不一步一步的分析了.此次样本分析完毕.
1.3K50发布于 2018-01-08 - 来自专栏ChaMd5安全团队
CryptoShield勒索病毒分析
这篇文章主要分析一下Cryptoshield,来自于RITEST RIG EK的一个勒索病毒。 病毒样本可以从这里得到: http://www.malware-traffic-analysis.net/2017/01/31/index2.html 首先,给病毒脱壳。 猜测应该是payload,后面分析验证了这个猜测。 ? 将这部分内容存储起来,然后在IDA中打开进行分析。 ? 在最初,我们可以看到两个函数 sub_402A10 和sub_402980。 分析一下大致的算法就是,把每个字母的ascii值乘以128然后加下一个字母,一直循环下去。所以我的用户名’sam’就得到了1CF0ED。 这是病毒用来永驻系统的。它复制了自身,并且通过设置注册表来达到这个目的。看下注册表的改变。 ? 好了,我们继续。 ? 我划了红线那个函数就是加密函数了。双击进入。 ? 这个病毒检测了磁盘的类型。
1.5K60发布于 2018-03-29 - 来自专栏deed博客
文件夹病毒分析
0078540e071161ec7f14a80a462e775d6981c804 文件大小:148KB 创建时间:2013-02-19 13:01:38 文件类型:EXE 火眼点评 疑似伪装文件夹病毒 ;设置文件属性;查找文件;拷贝自身到其他目录;创建互斥体 新毒霸点评 经新毒霸云安全中心分析,该文件存在病毒,请及时删除! 危险行为监控 行为描述:疑似伪装文件夹病毒 附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe
1.5K40发布于 2018-06-05 - 来自专栏码农UP2U
简单病毒样本分析
病毒样本分析分类 病毒样本分析大致分为两种,一种是行为分析,一种是逆向分析。 逆向分析主要是通过静态分析或者动态调试来查看病毒的反汇编代码,通过断点或者单步来观察病毒的内存数据、寄存器数据等相关内容。 行为分析可以快速的确定病毒的行为从而写出专杀工具,但是对于感染型的病毒是无法通过行为分析进行分析的,或者病毒需要某些触发条件才能执行相应的动作,这样因为系统环境的因素,也无法通过行为分析得到病毒的行为特征 实例演示 我们通过一个真实的病毒样本,进行一次逆向分析,希望可以对病毒分析的入门者有一定的帮助。 下载到样本后,放置到虚拟机中,虚拟机最好也处于断网情况,因为我们不确定病毒到底有哪些行为。 我们这里完整的分析了一个病毒,从我们分析的过程中可以看出,熟悉 Win32 API 和一些编程知识对于我们分析病毒是非常有帮助的。
2.6K20发布于 2020-08-26 - 来自专栏全栈程序员必看
熊猫烧香病毒分析报告
通过139和445端口感染局域网的其他机器 设置定时器,每隔一段时间执行恶意行为 从指定网站下载数据包 1.2 测试环境及工具 测试环境:Windows 7 32位 工具:火绒剑,IDA,OD 1.3 分析目标 找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度。 2.具体行为分析 2.1 恶意程序的功能框架 第一部分: 第二部分: 第三部分: 2.2 恶意程序的主要行为以及对用户的危害 (1)遍历进程、线程、模块和堆 (2)检测杀毒软件 病毒会检测当时比较流行的一些杀毒软件 各个杀毒软件的可执行程序名称 (3)删除杀毒软件在注册表中的值 通过火绒剑能观察到病毒每隔一段时间就有检测并且删除杀毒软件在注册表中的自启动选项。 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 病毒特征: 字符串: ***武*汉*男*生*感*染*下*载*者*** Whboy 3.2 手工查杀步骤 (1)结束进程spo0lsv.exe,可通过
2.7K10编辑于 2022-11-01 - 来自专栏FreeBuf
你真的了解病毒分析吗?反病毒专家深度揭密
事实上很多人对恶意样本分析这项工作或技能可能并不是太了解,国内一般招人就叫病毒分析工程师什么的,事实上国外统称为恶意样本分析,因为这样更准确一点,恶意样本包含病毒,或不仅仅是病毒,病毒只是恶意样本的一个种类吧了 1.恶意样本的运营; 2.流行病毒样本分析。 大多数开发其实是没有逆向能力的,他们往往对开发比较熟悉或者对产品架构比较了解,对病毒样本并不清楚,这个时候就需要专业的病毒分析人员了,由专业的病毒分析人员对样本进行详细分析,然后给出相应的解决方案,然后协助开发人员进行专杀工具的开发和测试 当时安全公司的病毒分析人员的工作就是流行病毒的分析与处理,然后提取病毒规则,如果一家安全公司没有病毒分析人员,我不知道它是怎么做终端安全软件的,所以在传统的安全公司恶意样本分析人员是必不可少的,也是非常重要的一个岗位 3.实战实战实战 通过上面的学习基本的方法和技能都已经掌握了,后期主要就是不断的实战,去分析各种不同类型的病毒样本,了解各处不同病毒样本的原理,包含:蠕虫病毒、感染型病毒、勒索病毒、挖矿病毒、下载器、盗号木马后门
2.5K30发布于 2019-07-22 - 来自专栏FreeBuf
XiaoBa勒索病毒变种分析简报
概述 XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。 这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。 以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。 样本分析 此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本 ? 行为简图 ? 权限调整 样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作 ?
98020发布于 2018-07-30 - 来自专栏极安御信安全研究院
远控木马病毒分析
一、病毒简介SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1MD5:0902b9ff0eae8584921f70d12ae7b391SHA1 :f71b9183e035e7f0039961b0ac750010808ebb01二、行为分析同样在我们win7虚拟机中,使用火绒剑进行监控,分析行为特征:首先是一个拷贝自身,而在后面也被行为检测标蓝; 三、逆向分析拖进DIE查查壳,显示无壳:看看导入表信息:这里有检索主机信息之类的函数,还有网络链接之类的函数,基本可以确定大致行为,结合这里,在IDA中静态分析,进入winmain,F5看伪代码:以上就是 rundll32.exe,进入此函数:可以看到这里是进程遍历,返回进程信息,回到上一层:这里是启动命令行杀掉rundll32.exe,返回主函数;3.4、sub_4070E0进入函数内部:可以看到这里是设置病毒为服务并设置相关注册表版本类信息 ;3.5、sub-407660这里是循环三次,找病毒本体,通过函数40766寻找,找到后进行启动,进入函数内部:这里是创建快照找相应进程的操作,而传入的参数就是Terms.exe;3.6、sub_405480
1.1K21编辑于 2023-08-24 - 来自专栏绿盟科技安全情报
Satan变种病毒分析处置手册
该蠕虫病毒进入系统后无明显破坏行为,仅传播自身。 2018年11月底,国内多个金融客户感染了跨平台的勒索病毒,该病毒是上述蠕虫FT.exe的变种版本,病毒会释放门罗币挖矿程序和勒索软件。 SEE MORE → 2病毒分析 1 传播方式 Satan病毒家族通过下面8种通用漏洞进行传播。目前发现Satan在linux平台会进行内部IP遍历+端口列表的方式进行漏洞扫描。 4 病毒行为 由于此次Satan变种病毒可以在Linux和Windows跨平台传播,所以需要对病毒行为进行分别分析。 分析时样本产生的网络行为。 ? 如果发现可用的IP与端口,则尝试进行触发漏洞。 因此如能在样本完成加密后第一时间对物理内存进行取证分析,即可从物理内存中提取出密钥字符串对加密文件进行解密。
2K20发布于 2019-10-24 - 来自专栏Seebug漏洞平台
Bulehero 蠕虫病毒安全分析报告
2020年8月5日 1 概述 近日知道创宇404积极防御团队通过知道创宇云防御安全大数据平台(GAC)监测到大量利用Struts2、ThinkPHP等多个Web组件漏洞进行的组合攻击,并捕获到相关样本,经分析确认该样本为 Bulehero蠕虫病毒。 2 追溯分析 2.1 发现攻击 2020年7月26日,通过日志分析发现IP:47.92.*.*(北京)、119.23.*.*(广东)、117.89.*. 经过分析,发现Download.exe为下载器,执行流程如下: ? 病毒会同时对内网以及外网IP地址攻击,使其传播更为广泛。 ? 图5-扫描的IP段文件 ?
1.2K20发布于 2020-08-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号