一.病毒样本简述 初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe 是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport.exe文件,经过OD的调试以及与感染KWSUpreport.exe文件的对比,能够确定获取到的KWSUprepo

Atitit.木马病毒原理机密与概论以及防御 1. 定时截屏木马1 1.1. QQ聊天与微信聊天木马1 2. 文档木马1 3. 病毒木马的触发方式2 4. 远程木马2 5. 漏洞木马2 6. 病毒木马的隐藏机制2 7. 自我复制技术3 8. 木马病毒的免杀3 9. 其他木马病毒3 9.1. Gui接口的调用3 9.2. 注册表编程 4 9.3. 服务相关的编程 4 9.4. 进程与线程 4 9.5. 操作窗口4 9.6. 病毒的感染技术4 9.7. 恶意程序的自启动技术4 10. 木马的加壳4

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常

摘自:http://kczxsp.hnu.edu.cn/upload/20150504165623705.pdf 里面对于木马的实验过程写得非常清楚,值得一看.   木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏.删除和 修改文件.发送密码.记录键盘.实施 DOS 攻击甚至完全控制计算机等特殊功 能的后门程序.它隐藏在目标的计算机里,可以随计算机自动启动并在某一端口 监听来自控制端的控制信息. 1 .木马的特性 木马程序为了实现某特殊功能,一般应该具有以下性质: ( 1 ) 伪装性

一.前言 病毒与木马技术发展到今天,由于二者总是相辅相成,你中有我,我中有你,所以它们之间的界限往往已经不再那么明显,相互之间往往都会采用对方的一些技术以达到自己的目的,所以现在很多时候也就将二者直接统称为"恶意代码".这次我打算用两篇文章的篇幅来讨论病毒与简单的木马相互结合的分析与防范方法.本篇也就是第一篇,讨论的是利用只有服务器端的木马程序实现"病毒"的启动.而在下一篇中,我会讨论既有服务器端又有客户端的木马程序与"病毒"相结合的分析与防范.

一个文件都有一个所有者, 表示该文件是谁创建的. 同时, 该文件还有一个组编号, 表示该文件所属的组, 一般为文件所有者所属的组. 如果是一个可执行文件, 那么在执行时, 一般该文件只拥有调用该文件的用户具有的权限. 而setuid, setgid 可以来改变这种设置. setuid: 设置使文件在执行阶段具有文件所有者的权限. 典型的文件是 /usr/bin/passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码. setgid: 该权

一.流的概念 流简单说是建立在面向对象基础上的一种抽象的处理数据的工具,它定义了一些处理数据的基本操作,如读取数据,写入数据等,程序员只需掌握对流进行操作,而不用关心流的另一头数据的真正流向.其实,流就是把整个对象转化为一个一个单字节数据,然后形成数据流,其形同把固体石块打碎成一颗颗细小的沙子一样,最后可以形成流沙. 二.流的主要功能 流的主要功能是对文件与非文件数据相互转换进行操作(即它们之间的I/O操作).如将图片文件保存到数据库,那么数据库中的图片数据就变成非文件数据了,它只属于某记录某字

一.流的概念 流简单说是建立在面向对象基础上的一种抽象的处理数据的工具,它定义了一些处理数据的基本操作,如读取数据,写入数据等,程序员只需掌握对流进行操作,而不用关心流的另一头数据的真正流向.其实,流就是把整个对象转化为一个一个单字节数据,然后形成数据流,其形同把固体石块打碎成一颗颗细小的沙子一样,最后可以形成流沙. 二.流的主要功能 流的主要功能是对文件与非文件数据相互转换进行操作(即它们之间的I/O操作).如将图片文件保存到数据库,那么数据库中的图片数据就变成非文件数据了,它只属于某记录某字

catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动程序12. 劫持现有Service的启动DLL13. Reflective DLL injection

前言:在防火墙专区,我经常看见朋友们讨论,“某某防火墙的性能如何”,亦或是,“某某防火墙的防御能力如何”.实际上,一个防火墙所履行的基本职责便是“网络访问控制”,即放行我们允许的通信,阻止我们未允许的通信,能满足这一要求,就圆满的履行了防火墙的职责.所谓的“好用”.“性能”.“方便”,不如用“智能”和“人性化”这两个词来描述.这源于普通用户并不清楚,哪些通信是自己想要的,是可以允许的,需要防火墙代替他们判断.智能会带来隐患,但是这总比一个允许任何访问都必须手动添加规则的防火墙好,因为普通用户会毫

2017-2018-2 20155303 『网络对抗技术』Exp3:免杀原理与实践 --------CONTENTS-------- 1. 免杀原理与实践说明 实验说明 基础问题回答 2. 使用msf编码器生成后门程序及检测 3. 使用veil-evasion生成后门程序及检测 4. 使用shellcode生成后门程序并检测 5. 实验中遇到的问题及思考 尝试点其他有趣的?--自解压捆绑木马 同样的病毒,不同的杀软杀出来不一样的结果? 6. 实验总结及体会 附:参考资料 1. 免杀原理与实践说明

Linux 用户和用户组管理 Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统. 用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问:另一方面也可以帮助用户组织文件,并为用户提供安全性保护. 每个用户账号都拥有一个惟一的用户名和各自的口令. 用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录. 实现用户账号的管理,要完成的工作主要有如下几个方面: 用户

Linux系统安全笔记 https://insecure.org/https://sectools.org/SecTools.Org:排名前125的网络安全工具 http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.htmlhttps://www.ibm.com/developerworks/cn/education/linux/l-harden-desktop/l-harden-desktop-pdf.pdf增强 Linu

一.取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息. ll /proc/xxxx 用lsof查看某个路径下的进程列表,木马文件在/usr/bin/下的文件拷贝出来备份. lsof /usr/bin/* 用pidof命令查看某个路径下进程的pid,判断有没有符合条件的木马文件: pidof /us

最简单的莫过于PING命令了. PING命令的功能就是给对方主机发送IP数据包. 一般都是测试主机是否在线. 用法如下: PING 192.168.1.1.PING命令默认发送的是四个数据包,当然也可以设定发送数据包的个数. PING 192.168.1.1 -n 6 这里指定了6个数据包. 当然PING后面还有很多的参数,其主要作用如下: 它是用来检查网络是否通畅或者网络连接速度的命令.作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:

打开PS是出现“该内存不能为read”是怎么回事? 答:内存不能为read修复工具可以有效修复计算机运行应用程序时提示:该内存不能为read要终止程序的问题,一般XP系统才会出现这个问题. 指令修复法: 1.开始菜单,运行 ,输入cmd, 回车,在命令提示符下输入: 2.for %1 in (%windir%\system32\*.o photoshop 运行出现"应用程序错误,内存不能为read" 问:我的电脑运行photoshop 经常出现 出现"应用程序错误,内存不能为

效果是这样的,假设一个PE数据在内存里面了,我们利用下面我讲的技术可以直接建立一个进程并运行这个PE,当然直接在本进程运行在可以,这两钟技术在前些时日我都有实现,今天我只说关于建立进程并运行的,当然,为了防止无味的技术剽窃,我不准备给出完整代码,只给出部分关键性代码. 这种技术严格来说没有什么用处,不过对于用到木马病毒上效果缺非常不错,当然我并非是用到木马或者是病毒当中,我是用在直接从网络上同步并运行程序并且磁盘中不会出现任何相关的东西,这样对于保密数据来说有一定的效果. 首先我们要考虑进程问题

1. 第一章 信息安全概述 信息:信息是有意义的数据,具有一定的价值,是一种适当保护的资产,数据是是客观事务属性的记录,是信息的具体表现形式,数据经过加工处理之后 就是信息,而信息需要经过数字处理转换成数据之后才能传输和存储. 1.信息技术: 第一阶段 :电讯技术的发明 第二阶段 :计算机技术的发展,图灵计算机设计出了计算机的理论结构,香农奠定了计算机世界的二进制存储的机制,冯诺依曼计算机组成结构一直被沿用到至今.第一代电子管像第二代晶体管技术买进,再想大规模的集成电路的发展.使得计算机得到普及

  一.流的概念 流简单说是建立在面向对象基础上的一种抽象的处理数据的工具,它定义了一些处理数据的基本操作,如读取数据,写入数据等,程序员只需掌握对流进行操作,而不用关心流的另一头数据的真正流向.其实,流就是把整个对象转化为一个一个单字节数据,然后形成数据流,其形同把固体石块打碎成一颗颗细小的沙子一样,最后可以形成流沙. 二.流的主要功能 流的主要功能是对文件与非文件数据相互转换进行操作(即它们之间的I/O操作).如将图片文件保存到数据库,那么数据库中的图片数据就变成非文件数据了,它只属于某记录

近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏.这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流. 背景 阿里云安全团队蠕虫监控平台发现8220挖矿团伙的下载脚本出现更新,除了下载必要的驻留脚本.挖矿程序之外,新增加了一个 so文件的下载地址:http://107.174.47.156/1.so. 8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署