由于 使用了 简单游 平台上的挂机工具: 番茄-自动人机对战免费版1217  ,使用了很久,头段时间家里电脑 360提示有病毒,本来我一直忽略的,但 我扫描了一下,大量的这个木马,于是 吧 简单游卸载了,全盘扫描,杀毒,修复了许多文件.许多文件被感染,文件大小都变了,还好 360 可以修复感染文件. 这一次,我是用公司电脑,再次 尝试使用 简单游 的挂机工具,没想到 依旧 是这个病毒 virus.win32.ramnit.B ,又是感染了大量的文件.360 居然没有提醒,还好 我清理电脑垃圾 顺…

…

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复(建议等流行病毒专杀工具(Spant).exe 急系统急救箱进行系统修复) 系统急救箱…

virus.win32.parite.H病毒的查杀方法 昨天电脑中了virus.win32.parite.H病毒,搞了2个多小时最终搞定了.以下记录下我的解决方法. 第一步:下载Win32.Parite病毒专杀工具 下载地址:http://download.csdn.net/detail/wuxiaokaixinguo/6333233 第二步:执行流行病毒专杀工具(Spant).exe watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvd3V4aWFva2…

前言 恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的"敲竹杠"病毒,用于勒索.可见随着时代的发展,病毒的作者们往往也是想利用自己的技术来获取不义之财,变得越来越功利化了.而本系列文章也顺应了这个发展,从病毒讨论到木马,进而来到了"敲竹杠"病毒的讨论上来. 什么是"敲竹杠"病毒 其实"敲竹杠"病毒的行为很简单,它就是篡改我们的计算机的开机密码,然后病毒作者留下个人的联系方式,让…

0x00 样本说明 分析样本是被0b500d25f645c0b25532c1e3c9741667的样本感染得到.感染前的文件是Tcpview.exe,一款windows网络连接查看工具. 感染前后文件对比图示如下: 感染前 感染后 文件大小 106496 字节 818688 字节 文件md5 4B6B70F4A199CF3EAC1554B08804BC4F 041D85ECABF5F2E8366C5E0FDCB705F3 文件图标     分析样本的报毒情况如下: 杀软类型 病毒名 nod32…

前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不能靠&q…

Atitit.病毒木马的快速扩散机制原理nio 内存映射MappedByteBuffer 1. Java NIO(New Input/Output)1 1.1. 变更通知(因为每个事件都需要一个监听者)2 1.2. 选择器和异步IO:通过选择器来提高多路复用2 1.3. 通道——承诺与现实2 1.4. 内存映射——好钢用在刀刃上2 1.5. 字符编码和搜索2 2. MappedByteBuffer3 3. 性能提升对比4 4. ref4 1. Java NIO(New Input/Output)…

Atitit.病毒木马程序的感染 传播扩散 原理 1. 从木马的发展史考虑,木马可以分为四代 1 2. 木马有两大类,远程控制  vs  自我复制传播1 3. 自我复制2 3.1. 需要知道当前cpu核心数量2 3.2. Cpu占用百分比2 3.3. Io占用百分比2 3.4. 内存占用百分率2 4. 通过email传播扩散3 5. 通过qq等sns im软件传播扩散3 6. Bbs 论坛网站传播扩散3 7. 捆绑下载软件扩散3 8. 局域网扩散感染3 9. 利用系统或软件漏洞: 3 10. 隐…

前言 在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒.但是之前的"熊猫烧香"病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分.主要也是因为那是我这个系列为大家分析的第一个病毒,为了将一些原理性的东西说清楚,所以文章略显冗长,也主要是照顾一下初学的朋友,摒弃那些高大上的东西,将我的实际分析过程完整地呈现出来.相信大家在认真阅读完那三篇文章后,都能够掌握基本的分析方法,…

前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结>)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生"先入为主"的心态,在分析反汇编代码的时候就能够比较顺利.本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六进制代码,我们能够获取到什么信息,这也算是从另外一个角度来处理病毒文件. 查看附加数…

前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香"是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以"徒手"解决.但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀.所以这次我引入了两个工具--icesword与autoruns,以达到查杀的目的. 病毒的基本信息…

前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术.之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了).而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰.JS脚本木马之所以会如此泛滥,与它的编写简单.易于免杀以及难以封堵等特点息息相关.而我们本次的课程也会围绕它的这三个特点展开讲解,从而让大家全面的掌握JS脚本木马的分析与防御技术.   JS下载者脚本木马基本分析方…

移动端无法复制:使用clipboard.js碰到的一个小问题   直接看下面的代码:在移动端访问,点击,能正常复制. <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta name="viewport" content="width=device-width, initial…

Atitit. 注册表操作查询 修改 api与工具总结 java c# php js python 病毒木马的原理 1. reg 工具 这个cli工具接口有,优先使用,jreg的要调用dll了,麻烦的.. 2. Jreg 框架 Jreg的要调用dll了,麻烦 作者::  ★(attilax)>>>   绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙,  EMAIL:1466519819@qq.com 转…

一.什么是 Win32 Win32 是指 Microsoft Windows 操作系统的 32 位环境,与 Win64 都为 Windows 常见环境. 这里再介绍下 Win32 Application 和 Win32 Console Application 之间的区别: 1.程序不同 Win32 Application 是标准 windows 程序,完全拥有 windows 的特性,可以通过鼠标点击窗口来完成控制. Win32 Console Application 是控制台应用程序,类似于…

WARNING 本文仅供学习和测试,请勿用于非法用途. 前言 花了挺长时间去开发的,中间有很多包是抄的,比如DDL注入.关于opencv等等,主要其实做了一些拼接.打包.部署. 写这篇博客并不真的想去写病毒攻击别人,而是想告诉大家简单的病毒的原理以及其实我们py学好了,也有能力做出来,并不算难. 写这个东西的人挺少的.那么,我们开始吧. 注:本文源码并不会直接公布于博客,希望对其有兴趣的朋友添加我的QQ:1625098483获取,以防不法用途,我可不想吃国家饭(牢饭). 病毒原理 这里感谢b站u…

比对脱壳前后的程序 我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本.其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别.首先用IDA Pro载入原始病毒样本: 图1 可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器.那么下面就载入脱壳后的样本来看一下: 图2 可见这个时候IDA就已经能够分析出非常多的信息了,比如Function window还有图形模式窗口.而通过…

http://blog.csdn.net/qq1084283172/article/details/49305827 一.样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c 二.样本行为 0x1.打开与当前病毒进程文件同名的信号互斥…

A virus is spreading rapidly, and your task is to quarantine the infected area by installing walls. The world is modeled as a 2-D array of cells, where 0represents uninfected cells, and 1 represents cells contaminated with the virus. A wall (and only…

前言 假设说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后.杀软一般都会弹出一个对话框提示我们,下载的程序非常可能是恶意程序,建议删除之类的.或者杀软就不提示.直接删除了:或者当我们运行了某一个程序,包括有可疑操作,比方创建开机启动项,那么杀软一般也会对此进行提醒:或者当我们在计算机中插入U盘.杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘--上述这些,事实上都属于杀软的"主动防御"功能. "主动防御"简单介绍 杀毒软件通常…

前言 我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件.整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程创建,程序首先会进行特征码匹配,从而判断目标程序是否为病毒程序,如果是,则进行拦截,反之不拦截.停止监控时,再卸载掉DLL程序.以下就是程序各个部分的代码实现. 封装InlineHook类 对于这次所使用的Hook技术,我打算采取面向对象的方法,用C++封装一个Inline Hook类,便于以后的使用.一般来说…

写个笔记记录一下,起因是朋友在QQ上发了个连接叫我看看 安不安全,叫我帮他看看,反正在店里待着也没生意,那就顺便看看咯. 打开这个网址  会自动弹出下载一个名为OOXX的APK安装包. 起先我的思路是想先从这个网站下手!先搞定这个网站或者服务器吧, 然后我就去网站主页看了下.是一个网址缩短(变形)的网站. 那么我们给地址还原成真实地址,http://172.106.13.10:6080/8337/ooxx.apk  这就是真实的网址. 用Nmap扫了下 3389端口开放着,目测是win2003的…

程序流程:首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP.端口,达到窃取用户的QQ密码.程序很简单不过,不过代码确实有点多,不过很多都是多是对字符串的操作,动态就直接无视吧. 具体分析:我们向下观察就可以直接…

前言 因为我们的终于目标是编写出针对于这次的U盘病毒的专杀工具.而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示.假设真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀. 对病毒样本进行脱壳 依照常规.首先是对病毒进行查壳的工作,这里我所使用的是"小生我怕怕"版的PEiD,之所以用这个版本号,是因为经过我的实际測试.常规的PEiD或者说其他的查壳工具都难以非常好地对这次的程序所加的壳进行识别: 图1 使用PEiD进行查壳 这里请大家注意的是.…

前言 反病毒爱好者们非常喜欢讨论的一个问题就是,现在什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所解说的都是Ring3层的病毒.所以有些朋友可能会觉得.那么Ring0层的病毒事实上才是最厉害的,也是病毒发展的主流:或者有朋友可能觉得,採取了五花八门的隐藏技术的病毒才是最难对付的. 诚然,大家的观点都非常有道理.病毒编写者往往也会用复杂高深的技术来武装自己的恶意程序,使其难以被发现难以被清除.那么是不是说Ring3层的病毒就没有"市场"了呢?我觉得不是.…

一个简单的木马程序 绝大多数的木马程序都是基于Socket来实现的 废话少说直接上代码! 代码: client部分: # -*- coding: UTF-8 -*- import socketimport sysimport reimport os class Client: def __init__(self, serverIp, serverPort): self.serverIp = serverIp # 待连接的远程主机的域名 self.serverPort = serverPort s…

前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具. 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现.不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,如果有,也一并清理干净.我们这次的专杀工具需要实现以下几个功能:        1.专杀工具开启后,需要时刻监测是否有U盘插…

在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘.奇怪的是这次的连接时间较以往长,并且还出现了"自动播放"窗口: 图1 自动播放窗口 在扫描完后,来到了U盘的打开类型选择窗口: 图2 以前我在虚拟机中使用U盘,都没有出现过"自动播放"的情况.尽管如此,我这次也没在意,选择了"打开文件夹以查看文件".但是在U盘中却发现了奇怪的文件: 图3 上图的红框中的这几个文件,之所以说很奇怪,是因…

前言 引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒.这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏.按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒.我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法.而本次课程的内容主要来讨论一下引导区的解析. 通过WinHex来手动解析引导区 WinHex是一个强大的十六进制编辑工具,也是一个强大的磁盘编辑工具…