这两天发现电脑卡慢. 同事电脑发现病毒,而后装上杀软后(一直在裸奔~~~),发现自己电脑也存在. DesktopLayer.exe 会有以下几个行为: 第一,会在C:\Program Files (x86)\目录下生成一个Microsoft文件夹,里面有个病毒文件desktoplayer.exe:第二,会在C:\Users\Administrator\AppData\Local目录下生成一个Installer文件夹,文件夹里会按时间不同编号不同的产生病毒文件夹,虽然文件夹名称后面数字不同:第三,

catalog . 安装及使用方式 . 检查DEDECMS是否为最新版本 . 检查默认安装(install)目录是否存在 . 检查默认后台目录(dede)是否存在 . 检查DedeCMS会员中心是否关闭 . 检查是否存在高风险的若密码账户 . 后台友情链接xss漏洞 . /plus/search.php SQL注入漏洞 . /plus/feedback.php SQL注入漏洞 . /plus/feedback_ajax.php SQL注入或XSS漏洞漏洞 . /include/dedesql.c

原文发表于百度空间,2008-10-4看雪论坛发表地址:https://bbs.pediy.com/thread-73948.htm========================================================================== 这篇文章是在Servex.exe专杀工具写完之后的一些小小感想,关于PE感染和修复,大牛飘过~ 自某日不小心中了Serverx.exe病毒,电脑中大部分EXE文件被感染,系统盘system32目录下的病毒文件Serve

前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不能靠&q

前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现.不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净.我们这次的专杀工具需要实现以下几个功能:        1.专杀工具开启后,需要时刻监测是否有U盘插

MsraMiner: 潜伏已久的挖矿僵尸网络 2017 年 11 月底,我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常.经过我们深入分析,确认这背后是一个从 2017 年 5 月份运行至今的大型挖矿僵尸网络(Mining Botnet).此僵尸网络最新的核心样本压缩包文件名为 MsraReportDataCache32.tlb ,我们将其命名为MsraMiner Botnet. 该僵尸网络的特征包括: 运行时间:2017 年 5 月份运行至今 传播方式: 利用 NSA

前段时间的一次样本,需要给出专杀,应急中遇到的是linux中比较常见的两个家族gates和xor. 首先是xor的专杀脚本,xor样本查杀的时候需要注意的是样本的主进程和子进程相互保护(详见之前的xor ddos分析http://www.cnblogs.com/goabout2/p/4888651.html),想要杀掉的话,需要先通过kill –stop挂起主进程,再删除其他的文件,但是由于xor的进程名是随机值,同时主机上还有有gates木马(gates最显著的特征就是会替换系统文件ps,ls

CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选.net版本为系统安装对应版本,1.0仅支持.net EXE生成. 后续版本不一定公开,望大家见谅,有兴趣的自行反编译生成的exe就知道怎么弄了. 注意: 一定要使用无后门特征的CS,否则上线1分钟就被个别杀软查杀(因为CS默认每分钟发送流量包,里面包含后门特征信息) 声明: 程序仅免杀shellcode部分

水一水最近玩的工具 弄dll注入的时候用到的 介绍这款老工具 免杀效果一般..但是简单实用  目录: 0x01 backdoor-factory简介 0x02 特点功能 0x03 具体参数使用 PS:后门添加私钥证书 https://tools.kali.org/exploitation-tools/backdoor-factory https://github.com/secretsquirrel/the-backdoor-factory 0x01 backdoor-factory简介 后门工

Shellter 是一款动态 shellcode 注入工具,我们可以将shellcode注入到其它程序上,从而来躲避杀毒软件的查杀.俗称为免杀 官网:https://www.shellterproject.com/  目前最新版本是7.2,主程序是.exe文件所以在windows下可以直接使用,在linux上运行的话 就需要安装wine环境来运行.我使用的Kali Linux 版本是kali-linux-2020.2目前最新版本  注意的是shellter目前只能注入32位的可执行文件 开始安装

使用说明: 1.查杀指定路径:python webshell.py 路径 2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″ # -*- coding: utf-8 -*- import osimport sysimport reimport time rulelist = [ '(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0,10}\(\s{0,10}\$_(GET|POST|REQUEST)\[.{0,15}

时间限制: 3 Sec  内存限制: 128 MB提交: 49  解决: 7 题目描述 输入一个数列,你需要进行如下操作:  1. 把编号为I的数值改为K  2. 输出从小到大排序后第k个数 输入 输入文件第一行包含两个整数N.M,分别表示数列长度与操作个数.  第二行有N个整数,为初始数列中的N个整数.  接下来M行每行如果只有一个整数k,那么就是输出第k小数,否则两个整数I,K表示把第I个数的数值改为K. 输出 输出所有要求输出的数,每个数单独一行. 样例输入 5 3 5 3 2 1 1 4

安装 Kali下方式一: git clone https://github.com/secretsquirrel/the-backdoor-factory方式二: apt-get install backdoor-factory 使用说明 ./backdoor.py -h 检查待检测软件是否支持(如putty.exe) 指定代码裂缝大小  支持payload模块查询  使用单代码裂缝注入  使用多代码裂缝注入 结合MSF反弹Shell the-backdoor-factory-微信dll劫持(动

Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一. Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取: 该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息: 此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害. 病毒样本分析 微

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复(建议等流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复) 系统急救箱

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd3V4aWFva2

第3章 免杀与特征码 这一章主要讲了一些操作过程.介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具. VirTest5.0特征码定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyCCL免杀失败的原因.因为某些反病毒软件的扫描器采用的是密码校验和技术,密码校验和指的是将一段病毒文件代码计算出特定的值,然后与病毒库的值进行比对,如果匹配到特征码则有毒,反之则无毒. 3.1 特征码免

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常

打开word文档总是自动弹出控件工具条的解决办法:1.查看是否word文档和模板中了'apmp宏病毒,按ALT+F11组合键,双击当前文档下属的ThisDocument,清空里面的内容:双击Normal-Micorsoft word对象-ThisDocument,清空里面的内容.然后把word宏安全性设置为高,即可防止宏病毒再次感染,切勿照着网上说的把word宏安全性设置为低.如果确定有宏病毒,建议用江民宏病毒专杀工具全盘查杀office文档.江民宏病毒专杀工具http://www.jiangm

前言 因为我们的终于目标是编写出针对于这次的U盘病毒的专杀工具.而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示.假设真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀. 对病毒样本进行脱壳 依照常规.首先是对病毒进行查壳的工作,这里我所使用的是"小生我怕怕"版的PEiD,之所以用这个版本号,是因为经过我的实际測试.常规的PEiD或者说其他的查壳工具都难以非常好地对这次的程序所加的壳进行识别: 图1 使用PEiD进行查壳 这里请大家注意的是.