您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

PC端恶意代码隐藏手段对抗

时间:2022-12-29 12:28:25  来源:今日头条  作者:Th0r安全

前言

恶意代码分析是安全从业人员非常重要的一个技能。

之前提到过SSDT hook隐藏和PEB断链隐藏,今天接触一下其他的。

参考书籍:<<恶意代码分析实战>>

Lab13-1

这里先运行一下,可以看到对一个网站的请求。


 

然后用IDA查看,没有看到这个域名相关的信息。


 

看到这里抽取资源文件,并对资源文件进行了异或操作。


 


 


 

这里我们对资源文件提取,进行异或操作,可以看到域名。


 


 


 

之后再调用了一个函数,获得主机名。


 

这里之后调用一个函数,我们用od看一下这里干了啥。


 


 

可以知道这里进行了base64编码

然后发送请求


 

读取返回内容。

然后进行判断。


 

Lab13-2

用IDA打开。


 

GetTickCount

GetTickCount返回(retrieve)从操作系统启动所经过(elapsed)的毫秒数,它的返回值是Dword

函数解除锁定的内存块,使指向该内存块的指针无效

GlobalFree

释放指定的全局内存块

GetSystemMetries

通过设置不同的标识符就可以获取系统分辨率、窗体显示区域的宽度和高度、滚动条的宽度和高度。

GetDesktopwindows

该函数返回桌面窗口的句柄。桌面窗口覆盖整个屏幕。桌面窗口是一个要在其上绘制所有的图标和其他窗口的区域。

该函数检索一指定窗口的客户区域或整个屏幕的显示设备上下文环境的句柄,以后可以在GDI函数中使用该句柄来在设备上下文环境中绘图。

该函数创建一个与指定设备兼容的内存设备上下文环境(DC)。

CreateCompatibleBitmap

该函数创建与指定的设备环境相关的设备兼容的位图。

SelectObject

该函数选择一对象到指定的设备上下文环境中,该新对象替换先前的相同类型的对象。

GetObjectA

t函数得泛指得到对象,到指定图形对象的信息,根据图形对象,函数把填满的或结构,或表项(用于逻辑调色板)数目放入一个指定的缓冲区。

GlobalAlloc

该函数从堆中分配一定数目的字节数。Win32内存管理器并不提供相互分开的局部和全局堆。提供这个函数只是为了与16位的Windows相兼容。简称全局堆分配

GlobalLock

锁定内存中指定的内存块,并返回一个地址值,令其指向内存块的起始处。

GlobalUnlock

函数解除锁定的内存块,使指向该内存块的指针无效,GlobalLock锁定的内存,一定要用GlobalUnlock解锁。

GlobalFree

释放指定的全局内存块

ReleaseDC

函数释放设备上下文环境(DC)供其他应用程序使用。函数的效果与设备上下文环境类型有关。它只释放公用的和设备上下文环境,对于类或私有的则无效。

DeleteDC

函数删除指定的设备上下文环境(Dc)。

DeleteObject

该函数删除一个逻辑笔、画笔、字体、位图、区域或者调色板,释放所有与该对象有关的系统资源,在对象被删除之后,指定的句柄也就失效了。

先获得操作系统的时间,作为文件名


 

然后截图


 

之后进入一个加密函数


 


 

最后写入文件


 

那么怎么看到这个截图呢,一种方法是在加密前直接返回。

还有一种是将加密后的图片内容取出来,放到加密的参数,这里是先假设自定义加密是可逆的进行尝试。按住第一个字节,shift往下脱,在最后一个字节上面按一下。


 


 

Lab13-3

放入PEid,无壳,并且可以看到有加密字段。


 

放入IDA中查看,这里通过插件可以看到先是调用了AES相关的函数


 

接着启用了socket初始化,与服务器通信


 

然后这里创建了两个管道


 

之后创建了cmd的进程。


 

之后创建了一个线程,从socket读取内容。


 

这里还涉及到了一个函数,点进去查看,可以得知是base64


 


 


 


 

然后调用了另一个函数,也是读和写的操作,这里进行了AES加密操作。


 

理一下,就是socket获取服务器base64编码后的数据,然后解码传递给cmd,然后cmd运行结果aes加密,然后传递给服务器。

这里通过插件和字符串可以判断出AES加密和base64编码,AES的私钥可以从mAIn函数中得知。



Tags:恶意代码   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
PC端恶意代码隐藏手段对抗
前言恶意代码分析是安全从业人员非常重要的一个技能。之前提到过SSDT hook隐藏和PEB断链隐藏,今天接触一下其他的。参考书籍:<<恶意代码分析实战>>Lab13-1这里先运行一下,可以...【详细内容】
2022-12-29  Search: 恶意代码  点击:(311)  评论:(0)  加入收藏
PC端恶意代码的混淆与加壳对抗
前言之前的实验部分,也出现过加壳对抗,文中也说了几种工具脱壳和手动脱壳的方法,但是之前主要还是针对功能点的分析。从这里开始,主要涉及到的就是逆向对抗了。Lab15:花指令花指...【详细内容】
2022-12-26  Search: 恶意代码  点击:(370)  评论:(0)  加入收藏
恶意代码常见的编程方式
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14  Search: 恶意代码  点击:(430)  评论:(0)  加入收藏
带你读懂信息安全中的恶意代码、病毒、木马、蠕虫......
病毒:破坏计算机功能或数据,以破坏为主,传染其他程序的方式是通过修改其他程序来把自身或其变种复制进去完成的,典型的熊猫烧香。蠕虫:通过网络的通信功能将自身从一个结点发送...【详细内容】
2020-06-30  Search: 恶意代码  点击:(647)  评论:(0)  加入收藏
恶意代码分析之Office宏代码分析
0x00 前言在之前的文章中,讲述了几个常见的恶意样本的一些常规分析手法。主要使用的工具有exeinfo(查壳)、IDA(静态分析)、od&xdbg32(动态调试)、Systrace&火绒剑(行为分析...【详细内容】
2020-06-30  Search: 恶意代码  点击:(612)  评论:(0)  加入收藏
基于可信计算技术的抗恶意代码攻击安全结构框架设计
基于可信计算技术构建的抗恶意代码攻击安全结构框架以可信计算技术为基础,融合身份认证、授权访问控制、备份恢复以及审计等多种安全控制技术构成。可信安全模块是抗恶意代...【详细内容】
2020-05-12  Search: 恶意代码  点击:(768)  评论:(0)  加入收藏
手机浏览网页,突然出现“您的手机可能遭到恶意代码攻击”怎么办
不知道大家还有没有印象,在多年之前如果我们有一些问题得不出答案,一般情况下都会通过电脑中的一些浏览器去搜索答案,不过现在来看,随着智能手机的功能变得越来越齐全,而且智能手...【详细内容】
2019-10-18  Search: 恶意代码  点击:(816)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(91)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(130)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(189)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(276)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(287)  评论:(0)  加入收藏
站内最新
站内热门
站内头条