近日亚信安全截获了LokiBot间谍木马最新变种,LokiBot是一款著名的间谍木马,其通过垃圾邮件传播,窃取用户敏感数据,包括浏览器、电子邮箱、ftp、sftp密码及凭证。本次截获的LokiBot变种与之前版本不同的是,其还会窃取Windows上支持的IOS应用信息。亚信安全将其命名为:TSPY_LOKI.SMA。 攻击流程 病毒详细分析 脱壳后,我们发现该病毒是VC++编写: 其代码中存在大量花指令,payload在以下地址中: 病毒首先检查WSA是否启动,为socket做准备: 进入第一个pa
导读: 刘东发(http://www.codelive.net)的杰作——–远程控制木马”偷窥者”VC6.0编译通过。2001年是中国的木马大丰收的一年. 首先是灰鸽子的诞生.灰鸽子早期版本开放源代码,灰鸽子的作者葛军(俺安徽的老乡,呵呵可不是拉关系),开始还倒不错,开放了源代码,后来功能齐全后,葛军开始翻脸了,不但不公开源代码,还收费.灰鸽子是delphi版的,本人愚笨,没有学delphi,主要原因:borland把自己卖了,jbuider以后都很难说(在下赶紧从jbuilder转向了eclips
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
滚动窗口(Tumbling Windows) 滚动窗口有固定的大小,是一种对数据进行均匀切片的划分方式。窗口之间没有重叠,也不会有间隔,是“首尾相接”的状态。滚动窗口可以基于时间定义,也可以基于数据个数定义;需要的参数只有一个,就是窗口的大小(window size)。
滑动窗口(Sliding Windows)与滚动窗口类似,滑动窗口的大小也是固定的。区别在于,窗口之间并不是首尾相接的,而是可以“错开”一定的位置。如果看作一个窗口的运动,那么就像是向前小步“滑动”一样。定义滑动窗口的参数有两个:除去窗口大小(window size)之外,还有一个滑动步长(window slide),代表窗口计算的频率。
本章节主要演示从socket接收数据,通过滚动窗口每30秒运算一次窗口数据,然后将结果写入Mysql数据库
ICMP后门 前言 这几天一直在研究远控木马的一些通信协议,比如TCP,UDP,ICMP,DNS,HTTP等等,对于TCP,UDP这两种就不讲解了,因为太常见了。 大家可能对采用ICMP,DNS的木马不是很熟悉,其实这两种协议在木马通信上很流行,特点是比较隐蔽,不容易被封锁。HTTP协议主要是用在以大型网站作为C&C服务器的场景,例如之前就有使用twitter作为 C&C服务器。 本次就以ICMP协议进行分析,并使用Python开发出一个ICMP远控后门,在写这篇文章的之前,我感觉大家对ICMP协议肯定不
所以从代码层面来讲来说,不论是什么语言的实现,最后的代码实现的逻辑都是一样的,由于对于java并不了解,但听懂了课堂代码的逻辑,就是先循环饶了了几次然后再建立连接小马拉大马,后参考了群里其他同学作业后得此下文!
原始的安装库可以从这里下载:http://research.microsoft.com/sn/detours(下载后是个msi的安装包,完全傻瓜式的安装),在公司使用的win7 32bit系统上安装编译很正常,但是在家里的64位系统上安装编译却出现了不少问题。今天晚上重新看了一下发现默认的那个vs命令行工具貌似是64位的,用兼容性的命令行工具就可以编译了,效果如下图所示:
IPC(共享命名管道资源)其实就是为了实现进程间通信而开放的命名管道;它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
Spark Streaming是构建在Spark Core的RDD基础之上的,与此同时Spark Streaming引入了一个新的概念:DStream(Discretized Stream,离散化数据流),表示连续不断的数据流。DStream抽象是Spark Streaming的流处理模型,在内部实现上,Spark Streaming会对输入数据按照时间间隔(如1秒)分段,每一段数据转换为Spark中的RDD,这些分段就是Dstream,并且对DStream的操作都最终转变为对相应的RDD的操作。
在经过一段时间研究使用go语言进行shellcode加载器免杀之后发现go语言的效果并没有以前那么好了,在近一段时间看公众号文章时发现了nim语言,该语言很小众,杀软对其针对的力度可能比较小,在教育护网前做一个初步的研究。
先启动服务端UDPServer程序,再启动客户端UDPClient程序,运行结果如下:
Windows sockets(简称 Winsock) 是微软的窗口系统结构 (WOSA) 的一部分。它是起源于UNIX上的 Berkeley Software Distribution(BSD) 版本的套接字、并为 Windows 进行了专门地扩展。 Internet 是在 UNIX系统上发展起来的 ,在 UNIX 上有许多成熟的编程接口 ,其中最通用的是一种叫做 sockets(套接字) 的接口。套接字的实质是通信端点的一种抽象 ,它提供一种发送和接 收数据的机制。网络软件商为 Windows 开发一套标准的、通用的 TCP/ IP 编程接口 ,并使之类似于 UNIX下的 sockets ,这就是 Windows sockets ;Windows socket 的实现一般都由两部分组成 :开 发组件和运行组件。开发组件是供程序员开发 Winsock 应用程序使用的、它包括介绍 Winsock实现的文档、Winsock 应用程序接口 (API) 引入库和一些头文件。运行组件是 Winsock 应用程序接口的动态连接库(DLL) ,文件名为 Winsock. DLL ,应用程序在执行时通过装入它来实现网 络通信功能。 最初 ,Winsocket1. 1 版是专门为 Internet 设计的 ,现在的 2. x 版己经不再限于 Internet 和TCP/ IP 协议 ,它通过提供扩展的 API 编程接口 ,把自己的应用范围扩大到现存的和正在出现 的各种网络和协议 ,包括 PSTN、ISDN、无线网、所有的局域网协议、异步传输模式 ATM 等等 ;并且允许应用程序对所建立连接的可靠性、冗余度和带宽进行控制。由此可见 ,Winsock 有着广泛的应用。 Windows sockets 是 Windows 下网络编程的规范。这套规范是 Windows 下得到广泛应用的、开放的、支持多种协议的网络编程接口。它定义并记录了如何使用 API 与 Internet 协议族(IPs、通常我们指的是 TCP/ IP) 连接 ,尤其要指出的是所有的 Windows sockets 实现都支持流套接字和数据报套接字。当我们为客户机/ 服务器开发一个特殊的应用程序时 ,我们可以通过套接字来交换我们的数据结构和数据报 ,以完成应用程序之间的通信。应用程序调用 Winsock 的 API实现相互之间的通讯。Winsock 又利用下层的网络通讯协议功能和操作系统调用实现实际的通讯工作。 它们之间的关系如图 1 所示 :
那怎么通信,通信的时候需要注意什么呢?这第一步,也是磕磕碰碰,毕竟从一年半前写那个分布式管理系统之后就没再这样分两个平台通信了。
这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码。
0x00 前言 在讲文章主题之前,我们还是习惯性地聊(che)一(che)聊(dan)。 远程控制木马大家都不陌生,尤其是早期接触黑客技术的人,应该可以发现早在2007-2009年,这段时间内,国内的“黑客技术”正是蓬勃发展的时期,那个时候,可谓是“战乱纷争,万马奔腾”的年代,当时流行各种黑客技术,其中就包括远程控制技术。 各种远程控制木马满天飞,无论是最早葛军编写的“灰鸽子”,还是各种后起之秀的RAT,简直不胜枚举,各种被阉割的xxx专用版,各种新出的xxxRAT。如各类国产远控木马、上兴、PCShare
在Windows7系统下,采用工具为VS2008,Win32控制台应用程序,编写一个基于TCP的Client/Server网络程序。
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。
int ret; srtuct sockaddr_in from; ret=revcfrom(sock,recvbuf,BUFSIZErecvfrom函数用于从(已连接)套接口上接收数据,并捕获数据发送源的地址。 本函数用于从(已连接)套接口上接收数据,并捕获数据发送源的地址。 对于SOCK_STREAM类型的套接口,最多可接收缓冲区大小个数据。
由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。由于密码一开始我们需要接受密码本,所以我们需要区分一下发来的是密码本还是未翻译的密码。由于为了方便我们只模拟10个数字,所以一共20个字符(加上对应的BackSpace,因为不想让用户看出为何密码框平白无故多出10字符,所以我们需要删除)。之后就是简单的字符接收就OK了O(∩_∩)O
VC连接服务器过程: 1. 服务器端创建端口 a) 使用一个侦听子类来创建如CListenSocket* m_pSocket,这个子类中重载Socket函数OnAccept(int nErrorCode),在OnAccept函数中主要完成服务器端纪录并保存客户端的信息。 Void CListenSocket::OnAccept(int nErrorCode) { //先设置一个变量用来接受连接客户端的信息 CListenSockt* pSocket = new CListenSocekt(); //获得主窗体 CChatRoomServerDlg*pMainWnd=((CChatRoomServerDlg*)(AfxGetApp()->pMainWnd)); If(pMainWnd->m_pSocket->Accept(pSocket)) pMainWnd->m_SocketList.AddTail(pSocket); else delete pSocket; CSocket::OnAccept(nErrorCode); } b) 创建端口Socket,如m_pSocket->Create(Port). c) 开始侦听m_pSocekt->Listen(). 2. 客户端创建 a) 创建一个CClientSocket类,函数中重载OnReceive(int nErrorCode), 主要完成接受信息事务((CChatRoomClientDlg*) (AfxGetApp()->m_pMainWnd))->GetSocketMsg(this); b) pSocket->Create(),创建默认Socket。 c) pSocket->Connect(IP,Port)。 这样就可以把服务器和客户端都相应的设置好了。 注意:IP地址和端口地址一定要相同,我就因为IP不对应花了我好多时间调试
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
最近开发平台由VC6.0升级至VS2005,需要将原有的项目迁移,特将碰到的问题归纳如下:
概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。 这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。 SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以能代理TCP和UDP的网络流量,SOCKS主要用于客户端与外网服务器之间数据的传递,那么SOCKS是怎么工作的呢? 举个例子:A想访问B站点,但是A与B之
一个win7本本仅通过一个无线路由一个人上网,突然一天不能上网了,甚是奇怪,一看本地连接均是正常的.而且能ping通外网的dns,但无论如何就是打不开网页,表现为输入任何网址很迅速的显示该页无法显示,好像浏览器并没有提交任何url就做出了反应一样.其它客户端诸如QQ,迅雷等都一样不能访问因特网. 分析,由于能ping通外网,并且是自动从路由获得的ip,子网,网关,dns信息,所以可以肯定的是路由肯定是没有问题的,把dns手动更换为8.8.8.8也无济于事.由此可断问题,肯定出现在本机上. 这个现像就是Win
随着dns隧道应用的越来越广泛,尤其是xshell事件被公布以后,各大公司纷纷启动对dns隧道的监控,参考xshell的逻辑,大多数公司采取了“监控多个终端请求异常长度域名”的检测方案,其中注重检出率
上面列出的是大方面的特性,除此之外还有一些api的更新及废弃,主要见JDK 16 Release Notes,这里举几个例子。
有时候我们在修改端口的时候总是记不清端口号及其对应的服务,在用iis7服务器监控工具的时候,便可以使用下面的表格来查询具体端口及其对应的服务,方便快捷。下面是按照1到60000由上到下顺序列出端口号及其对应的服务:
TCP/IP协议包含的范围非常的广,它是一种四层协议,包含了各种硬件、软件需求的定义。TCP/IP协议确切的说法应该是TCP/UDP/IP协议。UDP协议(User Datagram Protocol 用户数据报协议),是一种保护消息边界的,不保障可靠数据的传输。TCP协议(Transmission Control Protocol 传输控制协议),是一种流传输的协议。他提供可靠的、有序的、双向的、面向连接的传输。
在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个可交互式shell。
此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能 未授权访问管理控制台,通过该漏洞,可以后台管理服务,可以通过脚本命令执行系统命令,如反弹shell,wget写webshell文件
另一端是Java写客户端程序,两者之间需要通信。 c++/c接收和发送的都是结构体,而Java是直接发送的字节流或者byte 数组。 解决方法:c++/c socket 在发送结构体的时候其实发送的也是字节流。因为结构体本身也是内存中的一块连续数据。问题就变成了如何把结构体手动转成字节的问题了 采用类似的报头: // packet head typedef struct tagPacketHead{ long PacketID; long PacketLen;} PacketHead;此时套接口的读写方式
VS2012如何编译ffmpeg前面已经有文章讲过,本来主要讲述如何引用外部库libx264,librtmp,
中断是一种使CPU中止正在执行的程序而转去处理特殊事件的操作。在运行一个程序的过程中,断续地以“插入”方式执行一些完成特定处理功能的程序段。
通过top命令查看资源占用发现有大量kworker线程占用CPU资源,如下图。怀疑是系统问题或平台程序导致的问题。
最近在帮一位大师傅测试招新赛的时候,发现自己对反弹shell是不太了解的,因此在用反弹shell解题过后,来对反弹shell进行相关学习,希望对各位师傅有所帮助。
phpinfo文件泄露一直被大家所忽视,但其实phpinfo可以为攻击渗透测试人员提供很多的信息。
基础词汇解释: DnsA记录传输: 利用dns解析过程,在请求解析的域名中包含需外传的数据,如xxxxxx.hack.com。则最终hack.com的dns服务器会收到xxxxx这个数据回传。 dns的txt类型回包: 一般指为某个主机名或域名设置的说明,可被黑客利用回传数据。终端请求某恶意域名的dns解析,dns返回txt记录,包含黑客需要的回传内容,如模块更新数据、指令等 概述: 随着越来越多的公司安全意识提高,大量公司已封锁socket通信,仅允许员工通过http/https协议外网,同时采取了越来越
最近有一个不成熟的想法,经过简单的测试应该可以实现,但是实现的效果并不好,感觉还需要提高一些内在的能力。 端口复用 在使用 Socket 编程时有一个很不错的功能就是端口复用,最早了解端口复用是在接触木马的时候学习到的,它可以通过端口复用来隐藏木马的端口,在隐藏端口的同时可以嗅探、截获、甚至篡改和截断发往原本端口上的数据。不过端口复用不单单是用在恶意程序的开发上,后来了解到端口复用不但可以用在恶意程序的开发上,还可以用在服务器开发的优化上,真的很强大。
辛辛苦苦拿下的 shell,几天没看,管理员给删了。这篇文章是我个人小小的总结,很多方面都建立在自己理解上思考,如果你有更好的思路,各位表哥们也可以分享。
0x01 今天早上刚起来,一个朋友就发给我一个文件,一看文件的名字是拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,让她赶快修改密码,她改完之后,这件事情本
在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了............当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写......
当然你可以直接用现成的虚拟摄像头软件实现这个功能。不过当初我开发这个插件的原因是,需要在Flash产品里面共享桌面,如果此时需要引导用户安装一个第三方的虚拟摄像头体验不好,所以公司希望我自己开发一个虚拟摄像头,一键安装减少用户的使用门槛。所谓的虚拟摄像头实际上在windows系统上注册了一个特殊dll,这个dll是一个COM组件。
承认的是,MSF和CS都是及其出色的后渗透工具。但是面对这种复杂多样的环境,上不上线是个我们要去认真考虑的问题,CS和MSF究竟能给我们的后渗透能带来什么东西?
MYSQL * stdcall mysql init (MYSQL *mysql): 初始化一个数据库.如果传NULL.则返回一个数据库对象
1. website SSL(secure Socket Layer) TLS(transport Layer Security) - SSL3.0基础之上提出的安全通信标准,目前版本是1.0 openssl 主页 -> http://www.openssl.org/ openssl 中文文档 -> http://www.chinaunix.net/jh/13/478901.html
领取专属 10元无门槛券
手把手带您无忧上云