病毒样本分析分类 病毒样本分析大致分为两种,一种是行为分析,一种是逆向分析。...行为分析可以快速的确定病毒的行为从而写出专杀工具,但是对于感染型的病毒是无法通过行为分析进行分析的,或者病毒需要某些触发条件才能执行相应的动作,这样因为系统环境的因素,也无法通过行为分析得到病毒的行为特征...实例演示 我们通过一个真实的病毒样本,进行一次逆向分析,希望可以对病毒分析的入门者有一定的帮助。 下载到样本后,放置到虚拟机中,虚拟机最好也处于断网情况,因为我们不确定病毒到底有哪些行为。...我们这里完整的分析了一个病毒,从我们分析的过程中可以看出,熟悉 Win32 API 和一些编程知识对于我们分析病毒是非常有帮助的。...注:文章时很早以前写的,病毒样本已经找不到了,而且提供病毒样本也违法。
由此可见,Python在网络攻击事件中的出现日趋频繁,这也为安全分析人员带来新的挑战。 经过分析发现,Python打包的病毒木马主要存在以下3种形式: 1....本文针对第二种方式进行介绍,将介绍常见的Python打包工具的安装和使用方法,同时对典型的Python打包木马病毒进行分析,并讲述相关逆向分析技巧。 常见Python打包工具 1....PyInstaller 简介 PyInstaller 是一个用来将 Python 程序打包成一个独立可执行软件包,支持 Windows、Linux 和 macOS X。...典型木马病毒分析 通过分析一个简单的样本来演示如何分析这一系列的样本。...其他Python打包分析 通常情况下,病毒样本不会乖乖的使用以上几种工具进行打包。很多黑客会使用自己定制的程序来对python脚本进行打包。我们以一个样本举例,通过该样本来演示如何分析。
1 概述 本文是针对GandCrab V5.0.5样本的详细分析,此样本的主要功能包括:加密数据文件,修改注册表保存RSA公私钥,在本地创建勒索病毒的说明文件。...样本中也包括常见的杀软进程列表,但是在调试机器中没有发现下面进程被终止的情况。 ? 随后创建三个线程,分别实现不同的功能。 ?...线程 1 主要功能:获取主机名和网络共享文件夹,并对共享文件夹中的文件进行加密,详细分析过程如下: 通过获取主机名。 ? 进行网络资源枚举。 ? 获取网络磁盘。 ?...线程 2 主要功能:加密本地磁盘内的文件,详细分析过程如下: 获取C盘盘符,之后进行本地文件加密过程。 ?...线程 3 主要功能:尝试进行网络通信,详细分析过程如下: 在开启这个线程之前,样本会收集系统信息。 ? 获取到的系统信息如下,包括主机名,组名,系统语言环境,系统版本等。 ?
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...首先来看Strings分析出的字符串,这里面显示出了很多弱口令密码,猜测应该是会爆破内网的135端口弱口令,来入侵内网机器传播病毒的一个方式。还可以看到程序可能会自动感染U盘。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...“样本.exe”对于注册表是没有实质的影响。...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
分析环境及工具: winxp sp3、IDA、OD、火绒剑 0x02 相关文件 7.exe: 样本主体 dump.exe: 样本主体经过部分解密后的病毒文件 shellcode.txt: 主体经过解密后的...7.exe (病毒主体行为分析) 使用 PEid 查壳 ?...ptf6.tmp,存放在临时目录中(有兴趣的可以分析一下该病毒是怎么魔改原样本的,这里不做过多叙述,PE 操作可以看我之前分析勒索病毒的文章里面有详细分析) ?...,如果不小心病毒跑飞了,那就虚拟机回滚重新来,不要接着分析,例如这个病毒的远程线程注入功能只执行一次,执行完之后你重新载入再想分析就已经单步不到了。...3、病毒行为并不复杂,但是比较恶心 4、样本在网盘中供大家下载、学习、分析
注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox。 ? 2、crontab 定时任务异常,存在以下内容; ?...二、查杀方法 1、断网,停止定时任务服务; 2、查杀病毒主程序,以及保护病毒的其他进程; 3、恢复被劫持的动态链接库和开机服务; 4、重启服务器和服务; 附查杀脚本(根据情况修改) (脚本参考(https...删除并次查杀病毒(重复之前查杀步骤),重启服务器,观察一段时间后不再有病毒程序被拉起,至此病毒被查杀完全。...三、病毒分析 1、感染路径 攻击者通过网络进入第一台被感染的机器(redis未认证漏洞、ssh密码暴力破解登录等)。...的启停等管理) 恶意程序:sshd (劫持sshd服务,每次登陆均可拉起病毒进程) 3、执行顺序 ① 执行恶意脚本下载命令 ?
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串...5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,...然后拖到IDA中静态分析就可以了。
一、样本简介 样本是吾爱激活成功教程论坛找到的,原网址:https://www.52pojie.cn/thread-991061-1-1.html, 样本链接: https://pan.baidu.com...: eb6e36f1 四、样本分析 1)、运行后,样本会进行几个注册表的操作,主要为以下操作 然后创建文件waxe.exe,写入数据到文件里,文件里的数据都在只读数据段,0x0047D5A4开始,大小为...到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。...结合原先病毒的传播方式,大概率会找到此进程。 然后通过地址为0x430C40的函数,搜索注册表,找到steam路径。...QQkey盗号,接着通过qq邮箱改steam密码 向远处服务器请求,获取到pt_local_token参数 带着` pt_local_token`,对本地端口进行请求,获取所有账号信息 for循环分析每个账号信息
于是百度这个病毒:都说该病毒很变态。第一次中linux病毒,幸亏是内网,感觉比较爽。(总结网络内容,引以为戒) 1、病毒现象 服务器不停向外网发送数据包,占网络带宽,甚至导致路由器频繁重启。...3)netstat -natlp 可以看到使用哪些端口 2、分析可能原因 曾一度怀疑是安装u盘的问题,安装盘是u盘制作的系统安装引导盘,装入系统之前是格式化了。...22端口的root权限还是不要开了,no zuo no die,头一次经历linux中毒曾一度以为是很安全的操作系统。...2)删除病毒文件sfewfesfs 进到/etc/ 下面找到与进程对应的文件名 删掉。...sudo rm -rf /var/spool/cron/root sudo rm -rf /var/spool/cron/root.1 这个时候,病毒程序基本清楚完整了。
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征...云沙箱自动分析 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/130081.html原文链接:https://javaforall.cn
[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux
一、病毒信息 病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86...PEID中,可以看到是有UXP壳: 首先脱壳,样本拖入OD: Ctrl+F,取消整个块,查找popad,并下断点: F9运行,卡在断点这里,然后走过下面一个JMP,到了OEP 然后右键dump...四、行为分析 首先我们需要将病毒样本加入火绒软件信任区,让火绒不要干扰病毒程序运行,接下来打开火绒剑: 点击开始监控,然后双击运行骷髅病毒,首先可以看到骷髅病毒本体已经不见: 接下来进行过滤:...五、静态分析 把脱壳后的1.exe拖入Ida,找到WInMain,F5: 这是主函数,相应注释都在上面: 然后进入sub_405A52(),就是简单判断自己创建服务是否已经被创建,服务名称是15654656...回到上一层,继续往下看,生成随机名称,拷贝自身在Windows目录下: 接下来就是对服务的创建启动等操作: 最后来到sub_40355B: 跟进去,可以看到这是一个删除文件函数,根据之前的行为分析
自我删除 并释放C:\Users\xxx\AppData\Roaming\F503CB\B28854.exe 隐藏文件 网络监控 frhdgr.exe有网络连接和数据包发送等行为 数据包未加密 恶意代码分析...文件夹下创建vxogkynyop文件 向文件中写入加密的代码 此加密代码解密后是一段shellcode 用于解密核心PE文件的 还会再temp文件夹下创建wdxw2bfd6vcc5n文件 此文件为样本的核心代码...解密后的数据是PE文件 解密算法就在vxogkynyop文件中 在临时文件夹下创建frhdgr.exe文件 向文件中写入PE文件 创建进程 进程参数就是vxogkynyop文件 提取样本 第二层代码...h1>.Your browser didn't send acomplete request in time 函数返回注册表MachineGuid的值计算后的哈希值 移动病毒文件...新文件夹名称是哈希值的8~13位 新文件名称是13~18位 返回了注册表的路径 但感觉程序解析字符串的时候发生错误了 转换后的注册表的路径 创建键值 但是失败了 这里可以猜测病毒想加入到注册表自启动列表中
自我删除 并释放C:\Users\xxx\AppData\Roaming\F503CB\B28854.exe 隐藏文件网络监控frhdgr.exe有网络连接和数据包发送等行为 数据包未加密图片恶意代码分析第一层代码...temp文件夹下创建vxogkynyop文件图片向文件中写入加密的代码图片此加密代码解密后是一段shellcode 用于解密核心PE文件的还会再temp文件夹下创建wdxw2bfd6vcc5n文件 此文件为样本的核心代码...解密后的数据是PE文件 解密算法就在vxogkynyop文件中图片在临时文件夹下创建frhdgr.exe文件 向文件中写入PE文件创建进程 进程参数就是vxogkynyop文件图片提取样本图片第二层代码.../h1>.Your browser didn't send acomplete request in time函数返回注册表MachineGuid的值计算后的哈希值图片移动病毒文件...新文件夹名称是哈希值的8~13位 新文件名称是13~18位图片返回了注册表的路径 但感觉程序解析字符串的时候发生错误了图片转换后的注册表的路径图片创建键值 但是失败了 这里可以猜测病毒想加入到注册表自启动列表中
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...最后修改其标志位可以让沙箱正常把病毒跑起来了。 GandCrab5.2 和他的继承者 Sodinokibi 都使用了此反沙箱的技术手段。...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作...据其病毒家族中的成员行为分析,其中配置文件中如果“exp”字段为“true”,则使用漏洞 CVE-2018-8453 通过提升特权执行 32 位或 64 位 shell,但此分析的版本字段为 false
dll: 随后就是网络链接操作了: 可以看到一直在进行发包收包操作,结合沙箱的分析结果: 可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520....org 总结一下就是释放dll,网络链接; 四、静态分析 拖入PEID,啥也没,应该是被脱过了: 拖入IDA中,直接在winmain函数处F5: 4.1、sub_405A52 可以看到这里是一个简单的判断服务是否启动...五、hra33.dll分析 看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5: 5.1...六、病毒总体思路总结 首先开始运行,判断是否有病毒的注册表: 是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll– 线程1(家里IPC链接,局域网内传播...,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作; 否:启动病毒服务–设置键值–删除原病毒
作者丨黑蛋一、病毒简介SHA256:de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45MD5:6e4b0a001c493f0fcf8c5e9020958f38SHA1...:bea213f1c932455aee8ff6fde346b1d1960d57ff云沙箱检测:二、环境准备系统Win7x86Sp1三、行为监控打开火绒剑,打开样本:可以看到这里释放了部分隐藏文件,以及进行了网络链接...四、调试分析由于其中有很多需要解密部分,所以这次动静结合分析。
下面就简单看下这个样本都干了些什么吧。...壳类型 UPX 家族 Mydoom 传播方式 邮件 主流程图 主程序 病毒使用upx壳加密,先使用工具或手动脱壳 病毒先初始化套接字和线程ID便进入主函数: 在主函数中,判断注册表的...继续主线程往下分析,样本会打开c盘根目录下的init文件,读取里面的文件,但我主机上没有此文件,对于他要做啥也是不明所以。...Aigu.dll分析 此文件依旧是使用upx加壳,脱壳后发现函数并不多,主函数逻辑也比较简单: 样本会开启本地的1080端口等待服务端的连接: 一旦连接成功,便创建线程。...分析过程中没有连接成功,只能通过静态分析猜测,服务端会发送命令过来,然后病毒根据不同的命令执行不同的动作: 同时病毒还有关闭杀软的操作: 总结 随着技术的迭代更新,攻击者的伪装技术也随之发展
这篇文章主要分析一下Cryptoshield,来自于RITEST RIG EK的一个勒索病毒。...病毒样本可以从这里得到: http://www.malware-traffic-analysis.net/2017/01/31/index2.html 首先,给病毒脱壳。...猜测应该是payload,后面分析验证了这个猜测。 ? 将这部分内容存储起来,然后在IDA中打开进行分析。 ? 在最初,我们可以看到两个函数 sub_402A10 和sub_402980。...分析一下大致的算法就是,把每个字母的ascii值乘以128然后加下一个字母,一直循环下去。所以我的用户名’sam’就得到了1CF0ED。...这是病毒用来永驻系统的。它复制了自身,并且通过设置注册表来达到这个目的。看下注册表的改变。 ? 好了,我们继续。 ? 我划了红线那个函数就是加密函数了。双击进入。 ? 这个病毒检测了磁盘的类型。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
云直播
对象存储
