展开

关键词

如何使用Python简易程序

这次我们使用Python一个具有键盘记录、截屏以及通信功能的简易。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码。 首先准备好我们需要的依赖库,python hook和pythoncom。下载(这个链接和原文一致)安装python hook?下载安装pythoncom模块:? Python keylogger键盘记录的功能的实现主要利用了pythoncom及pythonhook,然后就是对windows API的各种调用。 Python之所以用起来方便快捷,主要归功于这些庞大的支持库,正所谓“人生苦短,快用Python”。

19720

手把手 | 用Python成的MCR乐队敲诈者:这种操作很朋克!

与此同时,各种敲诈者也在不断推陈出新,变着花样地出现在分析人员的视野中。去年,360安全团队就发现了一款使用PHP语言编的敲诈者(具体内容参考《用世界上最好的编程语言成的敲诈者》)。 最近,一款使用Python语言编的敲诈者又被发现。面对花样百出的攻击,360的安全分析人员不禁感叹——竟然还有这种操作? 分析惊现Python语言言归正传,我们来看下本身。 和常见勒索一样,会加密中毒电脑中的所有常见文档文件,并留下敲诈信息:而很是与众不同的是,在分析的时候,我们发现这款竟然是用Python语言编脚本,然后再打包成一个exe的可执行程序的。 用Python脚本了个敲诈者,再打包成exe程序,再费尽周章用匿名网络发不出去,最终因为使用对称加密算法被分分钟破解……惊不惊喜?意不意外?老生常谈的一些话1.不要从不明来源下载程序。

51620
  • 广告
    关闭

    50+款云产品免费体验

    提供包括云服务器,云数据库在内的50+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    干货 | 如何编Word宏

    Word使用宏语言Visual Basic将宏作为一系列指令来编。 当我们点击这个按钮的时候就会执行宏.将宏指定到键盘相当于使用快捷键执行宏.3)使用宏隐藏文字在编代码前,首先要更改两个设置? 编宏如下注意:在VBA中,不区分字母的大小,AutoOpen和autoopen等价.?? 5)编宏病毒典型案例(CDO自发邮箱获取系统用户名):可以获取的信息有很多,这里以获取系统用户名为例代码如下:?? 2: 开启禁用宏3: 安装杀毒软件宏病毒攻击方式多种多样(邮箱钓鱼,云宏病毒,下载等等)比起我的拙作,网上有很多值得分析的宏病毒样本,希望本文对如何编宏病毒不是很了解的人有所帮助.

    31810

    浅析PyCmd加密隐形

    之前了一个基于python的一句话客户端程序,这个程序的作用大致就是为了绕过防护设备,使敏感数据能在网络里自由穿梭。 这时我们能成功上传一句话,然而连接菜刀的时候会出现500错误,此时可以使用pycmd工具,因为其会对互相通信的内容加密处理。 为了方便,我已经把服务端程序放到了服务器网站目录下:php网站地址:10.0.3.13testp.phpjsp网站地址: 192.168.10.149:8080headgmpupload2017 运行程序可输入以下参数:-h 查看帮助信息-u 网站地址-p shell密码–proxy 开启本地代理(方便调试)注:当开启本地调试,需运行Fiddler程序,或者其他抓包软件。 PyCmd隐身用D盾扫描上传的服务端文件,显示为正常文件,成功躲过查杀(2016.9.18日检测结果)这里演示php查杀:

    74630

    kworkerds 挖矿简单分析及清理

    公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿 kworkerds,本文为我当时分析和清理的记录,希望能对大家有所帮助。 存在可疑的 python 进程。crontab 被入了一个定时任务,每半小时左右会从 pastebin 上下载脚本并且执行。原因redis 没有启用密码认证。 # 防止再次下载echo 127.0.0.1 pastebin.com >> etchosts # 删除掉局域网服务器之间的免密登录# 本机定时任务和都清理干净了,重启后又重新执行,最后发现是因为局域网服务器免密登录造成的 ,会通过免密登录互相复制。 linux 知识点隐藏文件文件,防止通过时间排序来判断文件。

    49110

    伪装-后门变形记

    在做安全测试时,种个后门养个在所难免,常见的后门有exe、bat、scr、vb等格式,可是凡是有点安全意识的都不会去下载、双击打开,那给后门穿件衣裳可好。 准备工作:test.exe 利用msfvenom提前生成的后门index.jpg 一张图片Resource_Hacker 给后门穿个夹Unitrix 实现完美转身1、index.jpg转换为ico格式访问 2、利用Resource_Hacker给后门穿件夹 打开Resource_Hacker,通过file—>open导入我们提前生成的后门test.exe? 最后点击保存,这个时候我们的后门已经穿好夹,如下 ? 最后:伪装的虽然骗的了我们的眼睛,但是骗不过杀毒软件,只有免杀的穿上这件夹才能碰撞出更激情的火花,实现华丽转身。

    42820

    Golang-Gin 框架的免杀平台,内置分离、捆绑等多种BypassAV方式

    Golang-Gin 框架的免杀平台,内置分离、捆绑等多种BypassAV方式。 cool时间线:Golang Gin 框架的免杀平台- (2021.11.12)Golang Gin 框架的免杀平台,更新捆绑免杀- (2021.11.20)增加自定义捆绑,修复一个小bug- (2021.11.22 分离1(houqing)用python起一个HTTP服务(python -m http.server 8080),把图片放到起http服务的目录下,执行exe 参数为http服务的图片路径(xxx.exe 捆绑上线捆绑内置免杀信息(免杀方式、listeners或者shellcode等),上传需要和捆绑的文件,下载完毕后将后缀改为exe,图标自行修改。 捆绑自定义第一个文件选择(.exe),第二个文件选择要捆绑的文件(如pdf等)点击生成目前火绒、360、卡巴斯基、def全过;先这样用,不能bypass了再说,更新频率看star数量。

    710

    基于Python3的连接工具编

    开始乱首先我们要确定我们连接上文件,所需要什么东西文件url参数没有这两个就无法建立连接,所以开头的时候先把他安排上url=str(input(url: ))parameter=str(input (参数: ))接着,开始执行命令,和之前菜刀的原理一致,通过base64解码传入php语句,然后在其中传入执行语句为了模拟终端的样子,所以先把获取路径的功能给了在php中, dirname()可以用来获取该文件的目录举个例子 url地址)parameter(参数)和无关紧要的header(http头部)? 一句话? 整合后的代码公众号后台留言 Python菜刀即可

    24330

    逆向分析“海莲花” APT的花指令反混淆工具

    本文中,CheckPoint研究人员基于对“海莲花” 程序的分析,编了一段绕过其混淆技术的反混淆工具-APT32GraphDeobfuscator.py,在逆向分析过程中,利用该工具,最终可以消除混淆指令 ,清晰地显示出“海莲花” 的运行调用流程,对分析和相关安全研究人员有借鉴帮助之用。 上个月,Cutter 官方引入了一个新的Python插件,CheckPoint也将在下面的反混淆工具编中用到该工具。 在后续感染阶段,会从相关文件资源中解码出一个配置文件,该配置文件存储了诸如C2服务器等运行反弹信息。 ,本文中CheckPoint基于样本分析,提出了一种反混淆解决方案,以Cutter和Radare2为框架,利用Python脚本,最终成功实现了对“海莲花” APT的反混淆,大大方便了逆向分析人员进一步对

    50210

    漏洞战争:一次服务器被肉鸡的经历

    Python中文社区专栏作者:囧囧男 1.起因最近挖矿很流行,又遇到struts2漏洞。把当时的情况给大家分享一下:?2.处理过程查看服务:?查看服务硬件: ? 攻击者可以直接利用这个漏洞在应用所在的服务器上篡改各种命令,生成各种,从而导致应用所在的服务器轮为DDOS的肉鸡或挖矿工具,更为甚者导致数据泄露。解决方案:1. 根据的特征,编相应的脚本每分钟做扫描,定时终止进程,保证没有可执行环境。2. 根据目前入侵的位置,定时删除相应目录下的可执行文件,保证没有可执行的内容。3. 降低jboss进程在操作系统的权限,改为非root用户启动,预防被攻入后可以随意在系统篡改内容。4.

    78750

    【作者投稿】MITMF安装与使用

    MITMF其实就是一个基于python的中间人攻击的框架,就好比metaspoit一样,无比强大且但十分易用。下面笔者就给大家介绍一下它有哪些用途,本文具有攻击性,大家最好在自己的实验环境中使用。 MITMF安装安装依赖包以及mitmf,kali下使用如下命令:apt-get install python-dev python-setuptools libpcap0.8-dev libnetfilter-queue-dev 2.改配置文件gedit usrsharemitmfconfigmitmf.conf?? 4.filepwn的原理就是在靶机下载可执行程序时将插入程序里,执行程序时就会启动,所以接下来我用靶机下载一个putty程序? 5.之后正常情况下msf应该就能接收到的连接,但是不知道是笔者环境出了问题还是姿势不对,msf老是报错,希望有经验的读者可以告诉我解决的办法,谢谢?

    34700

    文档化身商业,对“盗神”的分析与溯源

    前言利用文档进行传播的手法,最近一段时间随着敲诈类的流行,而被广泛利用了起来。与此同时,这个手法也开始被传统所借鉴。 作者通过将正文文字设置为白色,以达到隐藏的效果。实际上,这些正文是经过编码的二进制文件,宏通过读取正文并解码后,将真正的恶意数据入前述目录,即达到释放恶意文件的目的。 此项目的源代码是用Python的,同时提供了Windows下独立的可执行程序版本。 通过Python源码我们可以了解其收集密码的一些细节,比如对于IE密码,程序会首先从系统中提取密码数据,Win7及之前的系统是从注册表中提取:? 在中用到的LaZagne是目前的最新版本1.7版。?最终入PWD.txt中的内容示例为:?2.键盘记录会创建低级键盘钩子记录键盘信息:?3.屏幕截图屏幕截图相关代码如下:?

    39550

    教你学攻防 | 隧道 | 第一课

    隧道第一课前言今天开始讲讲攻防,感觉这些内容大家应该会更感兴趣一些,就从隧道说起。为什么会有隧道这一说呢?这是根据通信协议进行分类的。讲隧道之前,先讲讲端口映射和转发。 hacker通过发送恶意邮件的方式给主机B,主机B的用户点开邮件,运行恶意导致主机B被感染,就成了我们俗称的“肉鸡”。 虽然已经有运行在主机B中,但是由于主机B不在公网中,hacker无法访问到主机B。 的服务端运行在主机C,同时监听两个端口 port1 与port2,的客户端运行在主机B,分别主动连接主机B的22端口和主机C的port2,而hacker只需要主动连接主机C的port1,这样就打通了到主机 因此自己一个类似的工具也是一项必备的能力。

    30710

    PHP的一句话代码和函数eval的简介

    呵呵开个玩笑,其实不是这么简单,这是一段PHP代码,也就是我们所说的后门程序为什么说这段代码是后门程序? 其实这段代码属于基础类的一句话,功能仅限于验证漏洞了,实际中太容易被查出来了,也就是早上雨落直接带图说检测到文件这个是PHP最常见的一句话的源码,通过post程序来实现的植入,eval( 且必须以分号结尾如果没有在代码字符串中调用 return 语句,则返回 NULL如果代码中存在解析错误,则 eval() 函数返回 falseeval函数的一般用法一般用法也就是平时我们所用的,但是感觉我都不用这个函数,作用相当于Python eval函数的特殊用法这就是二般人的用法了,一句话下面我们直接来看实例,新建一个php文件,入如下代码 加上@符来抑制错误输出,来访问?cmd=echo hello,world! ;这个路径,就会看到输出查看PHP的信息:pathinfo() post提交同理,原理就是上面说的,将字符串按照 PHP 代码来执行了,这是最简单的一种PHP一句话程序代码,也感觉是最弱智的。。。

    1K80

    PHP的一句话代码和函数eval的简介

    呵呵开个玩笑,其实不是这么简单,这是一段PHP代码,也就是我们所说的后门程序为什么说这段代码是后门程序? 其实这段代码属于基础类的一句话,功能仅限于验证漏洞了,实际中太容易被查出来了,也就是早上雨落直接带图说检测到文件这个是PHP最常见的一句话的源码,通过post程序来实现的植入,eval( 且必须以分号结尾如果没有在代码字符串中调用 return 语句,则返回 NULL如果代码中存在解析错误,则 eval() 函数返回 falseeval函数的一般用法一般用法也就是平时我们所用的,但是感觉我都不用这个函数,作用相当于Python eval函数的特殊用法这就是二般人的用法了,一句话下面我们直接来看实例,新建一个php文件,入如下代码 加上@符来抑制错误输出,来访问?cmd=echo hello,world! 就会看到输出eval_demo1.png查看PHP的信息:pathinfo()eval_demo2.pngpost提交同理,原理就是上面说的,将字符串按照 PHP 代码来执行了,这是最简单的一种PHP一句话程序代码

    1.5K60

    【安全通知】PyPI 官方仓库遭遇request恶意包投毒

    request包安装过程中远程加载的恶意代码包括两部分功能:(1)释放远控到当前用户 HOME 目录的 .uds 文件夹内,名称为_err.log(例如 root.uds_err.log)。 _err.log远控脚本内容经过base64编码和压缩,缩小了体积,同时增强了对抗性。 3.png将远控脚本解密后,部分代码内容如下:4.png 远控功能齐全,包括命令执行,文件上传下载,python代码执行,信息收集,文件搜索等功能。 5.png(2)在 .bashrc 植入恶意后门命令实现持久化6.png 4.下发窃密指令攻击者通过远控下发python 窃密指令,盗取敏感信息(coinbase帐密)。 进程监控如下:7.png将窃密指令解密后,功能为请求C2 服务:http:dexy.topx.pyx ,远程加载窃密

    30520

    GravityRAT间谍软件分析

    2018年研究人员发布GravityRAT研究报告,印度计算机应急响应小组(CERT-IN)于2017年首次发现该的清单文件包括Services和Receiver:?app中的class:?间谍软件具有标准功能:它将设备数据,联系人列表,电子邮件地址以,通话和文本日志发送到C&C服务器。 此外会在设备内存以及连接的媒体上搜索扩展名为.jpg,.jpeg,.log,.png,.txt,.pdf,.xml,.doc,.xls,.xlsx 、. ppt,.pptx,.docx和.opus的文件 使用的C&C地址:nortonupdatesonline:64443nortonupdatesonline:64443研究中还发现了名为Enigma.ps1的恶意PowerShell脚本,可执行C# 通过对该域的搜索找到了应用ZW.exe,该应用程序由Python并使用PyInstaller打包,ZW.exe调用的C&C地址:msoftservereu:64443msoftservereu:64443msoftservereu

    21820

    PHP与SQL语句一句话总结

    以上就是PHP一句话木马小结与SQL语句写一句话木马的详细内容,感谢大家的学习和对ZaLou.Cn的支持。

    37431

    一句话

    一、前言“一句话”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。本文主要总结一下常见的绕过安全检测的思路抛砖引玉,请各位大佬多讨论指教。 常规的一句话格式能够被轻易识别2. 大小混淆配合字符串关键函数strtolower3. 字符串逆序配合大小混淆,关键函数strtolower、strrev4. 字符串逆序、大小混淆、字符串拼接5. 定义函数6. 定义类7. 定义类、使用base64编码函数:8. 定义函数、base64编码9. 字符串拼接:10.

    59700

    盗号《四》

    目标: 实现服务端的代码编,用于接受发回的消息。实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。

    12040

    相关产品

    • 主机安全

      主机安全

      腾讯主机安全(CWP)利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解阻断、异常登录审计、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券