Atitit.木马病毒强制强行关闭360 360tray.exe的方法 1. taskkill /im 进程名称1 2. 用 wmic process where name="进程名称" call terminate 这个不需要知道进程的PID号 1 3. Ntsd -c q -p pid2 4. Gui界面关闭方法2 4.1. XueTr2 4.2. Other gui接口2 5. 瑞福3 1. taskkill /im 进程名称 C:\Users\Administrator>…

Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒:2 1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀.2 1.4. 远程监控技术一样.2 2. 1.3 免杀的发展史2 3. 免杀技术的简单原理2 3.1. 现在的免杀主要分为3种,其中的一种便是行为免杀,也就是通过控制病毒木马的行为来达到躲过杀…

Atitit.木马病毒自动启动-------------win7计划任务的管理 1. 计划任务的Windows系统中取代AT 的schtasks命令1 2. Win本身的系统计划任务列表1 2.1. 计划任务列表管理gui版本  %windir%\system32\taskschd.msc /s1 2.2. 计划任务列表管理cli版本1 3. 360的列表接口ui2 4. task Scheduler的计划任务服务2 5. 错误日志2 6. Qa  schtasks在win7下提示错误:无法加载…

Atitit.木马病毒websql的原理跟个设计 1. Keyword Wsql { var sql="select "+p.txt+" as t,"+p.v+" as v from "+p.tb; logx(sql); var mp="&$method=com.attilax.sql.SqlService.exe&$callback=page_load_callback&$mod=userMod&$vi…

atitit.木马病毒webshell的原理and设计 java c# .net php. 1. 隐蔽性 编辑 WebShell后门具有隐蔽性,一般有隐藏在正常文件中并修改文件时间达到隐蔽的,还有利用服务器漏洞进行隐藏,如 "..." 目录就可以达到,站长从FTP中找到的是含有“..”的文件夹,而且没有权限删除,还有一些隐藏的WEBSHELL,可以隐藏于正常文件带参数运行脚本后门. webshell可以穿越服务器防火墙,由于与被控制的服务器或远程过80端口传递的,因此不会被防火墙拦截.…

Atitit.木马病毒的免杀原理---sikuli 的使用 1. 使用sikuli java api1 1.1. 3. Write code!1 2. 常用api2 2.1. wait 等待某个界面出现2 2.2. exist/find 判断是否界面存在2 2.3. 2 2.4. 2 2.5. sikuli 如何 清空文本框中的内容??解决方法!2 2.6. 判读控件,界面是否出现??find3 3. sikuli的扩展用途4 4. atitit.sikuli  NoClassDefFoundE…

Atitit.木马病毒的操作注册表原理 系统服务管理器 atiSysService 1. atiSysService1 2. atiSysService  原理1 3. Java code1 4. 参考5 1. atiSysService   http://localhost:8080/regsitMana/listServices.html 2. atiSysService  原理 使用JRegistry读取服务列表 此外,读取中文属性值的ucs2的属性读取. 启动类型String roott…

Atitit.木马病毒 webftp 的原理跟个设计 ftp木马的效果 文件传播 文件列表 文件内容查看 作者::  ★(attilax)>>> 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙,  EMAIL:1466519819@qq.com 转载请注明来源: http://www.cnblogs.com/attilax/ package aaaAddr; import java.util.Array…

Atitit. 木马病毒的外部class自动加载机制------加载class的方法总结 Atitit.java load class methods 1. 动态加载jar文件和class文件. 1 2.  使用Class静态方法 Class.forName  1 2.1. 使用ClassLoader  1 2.2. 3. 直接new  2 3. Ref 2 1. 动态加载jar文件和class文件. 完成上述两步操作后,即可使用Class.forName来加载jar中或.class文件包含的J…

Atitit.木马病毒原理机密与概论以及防御 1. 定时截屏木马1 1.1. QQ聊天与微信聊天木马1 2. 文档木马1 3. 病毒木马的触发方式2 4. 远程木马2 5. 漏洞木马2 6. 病毒木马的隐藏机制2 7. 自我复制技术3 8. 木马病毒的免杀3 9. 其他木马病毒3 9.1. Gui接口的调用3 9.2. 注册表编程 4 9.3. 服务相关的编程 4 9.4. 进程与线程 4 9.5. 操作窗口4 9.6. 病毒的感染技术4 9.7. 恶意程序的自启动技术4 10. 木马的加壳4…

Atitit 通过调用gui接口杀掉360杀毒 360卫士  qq保镖等难以结束的进程(javac# php ) 1.1. 这些流氓软件使用操作系统os提供的普通api根本就杀不掉啊1 1.2. 使用他们自己的api 或者cli接口来关闭1 1.3. 通过gui接口杀进程::1 1.4. 首先,调用gui接口让它们自相残杀,使用360或者其他杀毒软件互相杀掉对方即可.1 1.5. 其次,调用它们的强力杀进程gui api自杀..1 1.6. 最后的顽固分子,使用它们提供的卸载接口来强行卸载自我2…

某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本.经过对该木马病毒进行深入和全面的分析,发现该木马病毒还是很厉害的,远控的功能比较多,盗取用户手机上的用户…

[简单介绍] 经常使用网名: 猪头三 出生日期: 1981.XX.XX 个人站点: http://www.x86asm.com QQ交流: 643439947 编程生涯: 2001年~至今[共14年] 职业生涯: 12年 开发语言: C/C++.80x86ASM.PHP.Perl.Objective-C.Object Pascal.C#.Python 开发工具: Visual Studio.Delphi.XCode.Eclipse 技能种类: 逆向 驱动 磁盘 文件 研发领域: Windows应…

目的:强行关闭通过前端界面无法关闭的ESXI虚拟机 环境:esxi5.1-esxi6.5 背景:如果esxi下面某一台vm死机了,并且esxi的控制台卡死不能用,为了不影响同一个esx下其他的vm正常使用,那么我们只能用命令行来单独重启此vm,保证一定得安全性和效率.下面我会通过四种方法来重启vm 做法:登陆esxi主机 1. SSH登陆esxi 2. 重启/关闭VM 2.1) 通过vim-cmd来重启 # vim-cmd vmsvc/getallvms                     …

事件回顾:客户端连接服务器 ,一段时间后会发生服务器“挂掉”的情况,为了找到原因,在调试模式下运行服务器,捕捉到了一下异常: 红色框出来的即为异常原因:强行关闭了一个现有的连接远程主机 然后就发生了可怕的事情,如下图: 不断抛出此异常... 网上找了下解决方法:觉得比较靠谱的如下: 注意:C#命名空间在 system.Net.socket.socket.IOControl 可是我的是VB.NET写的,就将上面这段话改成了VB.NET语言: 注意:VB.NET命名空间是:System.Net.So…

原文来自:https://bbs.ichunqiu.com/thread-41359-1-1.html 病毒分析中关闭ASLR 分析病毒的时候,尽可能用自己比较熟悉的平台,这样可以大大地节省时间,像我就喜欢用xp了,然而有时候病毒非要在更高版本的系统上运行,如win7,server2008等.然而这些平台都使用了ASLR技术,每次od载入时,其映像基址都是会变化的,而你有时候需要计算一些地址,基址老是变,烦不烦? 那么我们要怎么关闭ASLR呢?这就要从ASLR技术背景开始说了. 微软从windo…

云服务器ECS挖矿木马病毒处理和解决方案 最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑. 总结了一些解决挖矿病毒的一些思路.由于病毒更新速度快仅供参考. 1.查看cpu爆满的进程 cpu占用率 100%, 用top 查看cpu100 2.杀死进程 kill -9  pid 杀死进程后,过一分钟该进程又起来了 或者 删掉此进程 cpu还是 100% 3.估计是进程被隐藏了或者有守护进程 直接杀死不生效. 4.定时任务多了一个执行任务 crontab -l  发现有定时任…

http://blog.csdn.net/qq1084283172/article/details/50413426 一.样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32.Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E951925E9C92BC8EFDF21C2FBAF46B6FFD13BC 二.行为具体分析 1.获取当前运行模块的命令行参数,根据当…

一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC 二.病毒行为分析 0x1. 静态注册Android系统的开机广播,对用户Android系统的开机广播进行监听,一旦用户的系统开机就运行病毒服务Tservice. 0x2. 服务Tservice的作用是 对用户短信的发送进行监听,一旦…

启动\关闭Oracle数据库的多种方法 启动和关闭oracle有很多种方法. 这里只给出3种方法: l         Sql*plus l         OEM控制台 l         Windows 控制台 1.以sql*plus为例: a.准备 首先我们用sql*plus来连接到Oracle Sqlplus /nolog 是以不连接数据库的方式启动sql*plus Connect /as sysdba 是以DBA身份连接到oracle b.启动 启动还是比较简单的 Startup就OK…

写在前面: 进入手机ODM已经很久,经历过几个项目项目下来,对高通.展讯.Marvell平台都进行了接触,对于我个人来说,参与手机系统项目的开发与维护,最明显的好处是可以深入的了解某一功能的具体实现过程,以及Android的设计框架,能够以框架的思维去修改代码添加功能.入行这么久,越来越觉得有必要将自己在实际工作过程中看到的,领悟到的一些东西能够记忆下来,并分享出来. 从这篇开始我将会筛选出一些常用功能在Google源码中的标准方法与大家一起分享,对于我个人来讲,比较喜欢按照源码中已经存在了的标…

Atitit 软件开发中 瓦哈比派的核心含义以及修行方法以及对我们生活与工作中的指导意义 首先我们指明,任何一种行动以及教派修行方法都有他的多元化,只看到某一方面,就不能很好的评估利弊,适不适合自己使用,犹如盲人摸象,虽然都对,但是并不完整 1. 瓦哈比教派的核心思想1 1.1. 归一化,反对多神..反对邪教与不良的 修炼方式1 1.2. 规范化,标准化最佳实践 圣训立国,依法治国1 1.3. 主张整肃社会风尚,净化人们的"心灵1 1.4. 倡导团结,团队建设1 1.5. 回归传统,轻量化1 2…

关闭不安全的HTTP方法 在项目或tomcat下的web.xml中,添加如下配置: <!-- 关闭不安全的HTTP方法 --> <security-constraint> <web-resource-collection> <web-resource-name>任意名称</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</…

原本在CS项目中用的好好的在BS项目中既然提示我导出出现无法访问已关闭的流的解决方法 比较郁闷经过研究 终于解决了先将方法发出来 让遇到此问题的筒子们以作参考 //新建类 重写Npoi流方法 public class NpoiMemoryStream : MemoryStream { public NpoiMemoryStream() { AllowClose = true; } public bool AllowClose { get; set; } public override void…

怎么关闭win10快速访问功能?关闭Windows10系统快速访问方法 Windows10系统的"快速访问"功能很容易泄露电脑中的隐私,用什么方法可以让这个功能消失,避免电脑的个人隐私泄露呢?修改Windows10系统的注册表值取消"快速访问"泄露隐私的方法. .点击注册表编辑器窗口左上角的位)值对话框中,把Attributes的数值数据从a0100000修改为a0600000,再点击:确定,退出注册表编辑器. 12/重启资源管理器或注销一次或重启电脑,则可以使修改…

强制保留两位小数的js方法 //写一个公共的强制保留两位小数的js方法 function toDecimal2 (x) { var f = parseFloat(x) if (isNaN(f)) { return false } var f = Math.round(x * 100) / 100 var s = f.toString() var rs = s.indexOf('.') if (rs < 0) { rs = s.length s += '.' } while (s.length <…

简介: NSA武器库的公开被称为是网络世界"核弹危机",其中有十款影响Windows个人用户的黑客工具,包括永恒之蓝.永恒王者.永恒浪漫.永恒协作.翡翠纤维.古怪地鼠.爱斯基摩卷.文雅学者.日食之翼和尊重审查.这些工具能够远程攻破全球约70%的Windows系统,无需用户任何操作,只要联网就可以入侵电脑,就像冲击波.震荡波等著名蠕虫一样可以瞬间血洗互联网,木马黑产很可能改造NSA的武器攻击普通网民. 据了解,比特币病毒早在2014年就在国外出现,2015年初开始在国内出现.而之所以被称…

新来的美工嫌我们logo太丑,所以就决定关闭了.这个理由怎么样曾经拥有的不要忘记:不能得到的更要珍惜:属于自己的不要放弃:已经失去的留作回忆.我刚来~~~嘿嘿~~ 久经考验的,忠诚的国际宅男主义战士,伟大的分享家,保存家,下载家,奇虎360云盘同志,因众说周知的原因,于2016年10月20日与世长辞,享年4岁.360云盘同志的一生,是战斗的一生,是革命的一生,是为广大宅男屌丝最高理想而不懈努力的一生…他的离开是广大宅男重大的损失,值得宅男们深切缅怀! 草木含泪,网友同悲,奇虎360云盘同志安祥地…

一.清除木马程序步骤 1.1 执行命令,每1秒刷新一次,显示整个命令路径,而不是命令的名称. [root@linux-node1 ~]# top -d -c 1.2 查找可疑进程(比较奇怪的进程名称)如:sshz.crond.conf..sshd等 1.3 发现可疑进程后,记录PID,然后执行如下命令 [root@linux-node1 ~]# kill -STOP PID #停止进程,先不要杀掉进程(有可能杀掉之后,木马守护程序会重新打开一个新的木马进程) [root@linux-node1…

一.服务器感染了kthrotlds挖矿病毒 [root@51yt bin]# cd /bin/ [root@51yt bin]# wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox [root@51yt bin]# busybox 然后使用命令 busybox top 可以查看到 到底是谁在吃服务器资源 [root@51yt bin]# busybox top   二.首先停掉定时服务,不然木马会很快下载复制 servi…