前言 最近,我们发现了一种新型的勒索软件,因其使用了gmail作为邮箱服务器,故被命名为Gomasom。当用户运行了该勒索软件时,用户的文件会被加密,加密后的文件后缀名为”.crypt”。加密完成后会
近期,火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
病毒制造者通过病毒混淆器(Obfuscator)[1],在云端服务器批量生成病毒的不同变种,并通过以下手段进行传播:
每一家安全公司的检测和匹配方式都不相同,常见的有传统的特征码匹配、静态动态启发等技术,关于火绒的反病毒引擎更详细的内容可以参考以下文档:
“勒索病毒”Ransom/Crowti详细分析报告 注:本文为后期搬运。发布日期以最早时间为准。 一、背景 在火绒前一篇《“勒索病毒”深度分析报告》(http://bbs.huorong.cn/for
通过邮件投递病毒文件是网络攻击常用的一种方式,因此防御邮件攻击是每个安全团队都需要重点考虑的内容。中兴通讯每天都会收到数万封外部邮件,为了及时检测每封邮件是否含有恶意文件,中兴ZInsight团队部署了自研的高级邮件防御系统,针对每个邮件附件,通过动态行为分析的方式检测是否存在威胁。本文介绍近期捕获的一起攻击事件,分析其攻击过程。
恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是很重要的.
壳的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。
加壳一般是指保护程序资源的方法. 脱壳一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱壳杀毒方法 : 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。
本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理,但是不足的点也很明显:
用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。除此之外,该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑,致使释放的子文件中存在着蠕虫的特征,增加了破坏性。执行流程如下图所示:
如果我们知道了一个文件是病毒,那么通过md5肯定可以判断一个就是这个病毒文件,那如果该病毒文件做了小小变动呢,直接md5肯定是不行了,那杀毒软件是怎么做的呢?这里有个叫做模糊哈希(Fuzzy Hashing)算法的东西。
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
C语言几乎是所有语言的实现基础,所以不存在做不了的事情,只是相对来说谁做更合适,编写游戏和软件都不是问题。 为何C语言如此强大? 1、C语言是许多高级计算机语言的基础,学好C语言能更好的学习其他高级语
这是很多初学者都会疑惑过的事情,但是你要C语言几乎是所有语言的实现基础,所以不存在做不了的事情,只是相对来说谁做更合适,编写游戏和软件都不是问题。
近日,火绒虚拟沙盒针对驱动病毒实现通用脱壳,可获取到驱动病毒核心特征,提高此类病毒的查杀效果,更好地防御相关未知威胁。
C语言几乎是所有语言的实现基础,所以不存在做不了的事情,只是相对来说谁做更合适,编写游戏和软件都不是问题。
Java和C语言在4月的时候已经非常接近,但是本月C语言再次超越Java重回榜首, 上一次C语言成为第一名还是在2015年。
熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究,在病毒出现的这个年代因为安全意识普遍不强,导致大范围被感染。本文带你跨进计算机病毒的大门
Pwnhub公开赛出了个简单的PHP代码审计题目,考点有两个: 如果说仅为了做出题目拿到flag,这个题目太简单,后台也有数十名选手提交了答案和writeup。但深入研究一下这两个知识点,还是很有意思的。 #0x01 phpjiami 代码分析破解法 这种方法我最佩服了,作者甚至给出了解密脚本,文章如下:http://sec2hack.com/web/phpjiami-decode.html 我自己在出题目之前也进行过分析,但后面并没有耐心写一个完整的脚本出来,所以我十分佩服这个作者。 我们分析phpjia
如果说仅为了做出题目拿到flag,这个题目太简单,后台也有数十名选手提交了答案和writeup。但深入研究一下这两个知识点,还是很有意思的。
SHA1: 3f738735bb0c5c95792c21d618eca8c0d5624717
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
很多人要成为高大上的黑客需要学习哪些基本功? 能盗取账号,能攻击服务器? 再牛的黑客起码是一个合格的程序员 所以说想成为黑客先成为合格的程序再说,说别的就是空谈了。大家对黑客的印象就是酷酷的,能轻松破解密码,攻击服务器。本文尝试分析下一个合格的黑客需要具备哪些基本功。 汇编知识 这个主要用在破解软件和攻击服务器使用,特别是在破解软件的时候用的比较多,稍微懂点计算机知识的小伙伴应该知道,在电脑上运行的程序都会生成机器语言,所以想破解直接面对的就是一堆二进制文件,也就是只有机器能看懂的语言。在目前的语言体系中,
该黑客团伙投递的文件名大部分与用户常用软件有关, 火绒安全实验室目前收集到其伪装的部分文件名如下图所示:
1979年,贝尔实验室的本贾尼等人试图分析unix内核的时候,试图将内核模块化,于是在C语言的基础上进行扩展,增加了类的机制,完成了一个可以运行的预处理程序,称之为C with classes。
行为分析主要是通过系统监控软件,监控系统中各资源或环境的变化,比如监控注册表、监控文件、监控进程,以及监控网络等。当然了,还可以通过 HIPS 软件来监控病毒的行为。各类系统监控工具或者是 HIPS 软件都是在系统的不同层面上进行了不同方式的 HOOK。比如说在内核层进行 HOOK,在应用层进行 HOOK。HOOK 的方式也是多样化的,比如直接 HOOK API 函数,或者 HOOK SSDT 表中的内核函数。
SHA256:880a402919ba4e896f6b4b2595ecb7c06c987b025af73494342584aaa84544a1
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀。根据进一步溯源的信息可以推测该挖矿团伙利用被入侵的博彩网站服务器进行病毒传播。分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 SSH 暴力破解并将病毒进行传播。由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,
随着5G技术的发展和移动终端普及,移动设备的便捷性和网络的泛在化,移动应用已广泛应用于电子商务、电子政务、医疗和辅助教学中。
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀。根据进一步溯源的信息可以推测该挖矿团伙利用被入侵的博彩网站服务器进行病毒传播。分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 SSH 暴力破解并将病毒进行传播。由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,让真相扑朔迷离,云鼎实验室威胁情报小组将本次门罗币挖矿新家族命名为「罗生门」。
该变种伪装的文件名从最初针对金融、证券业行业,更新为当下的AI热点,以 “AI去衣电脑版安装包.exe” 等相关文件名引诱受害者下载执行。火绒安全实验室目前收集到关键词部分展示如下:
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
闲着也是闲着,在逆向某软件时深入了解了下ESP定律,然后就想写个文章记录并分享下。
不止一个人觉得汇编语言现在应用的场景太少了,还在学习这门苦涩的语言还有多大的意义,现在汇编语言有多大用途,在当前这个高级语言越来越重要的年代,学习C语言的都不多了,汇编的又有多少人还在学习。在底层语言越来越不受重视的时代,学习汇编语言到底还有多大的用处?
病毒、木马是黑客实施网络攻击的常用兵器,有些木马、病毒可以通过免杀技术的加持躲过主流杀毒软件的查杀,从而实现在受害者机器上长期驻留并传播。
计算机科学里的宏是一种抽象(Abstraction),它根据一系列预定义的规则替换一定的文本模式。解释器或编译器在遇到宏时会自动进行这一模式替换。对于编译语言,宏展开在编译时发生,进行宏展开的工具常被称为宏展开器。宏这一术语也常常被用于许多类似的环境中,它们是源自宏展开的概念,这包括键盘宏和宏语言。绝大多数情况下,“宏”这个词的使用暗示着将小命令或动作转化为一系列指令。
* 本文原创作者:追影人,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,
TIOBE已发布5月份的编程榜单,此次榜单最大的亮点便是C语言反超Java夺得榜首。
什么是App加壳,以及App加壳的利与弊 目前针对移动应用市场上安卓APP被破解、反编译、盗版丛生的现象,很多APP开发人员已经意识到保护APP的重要性。而对于移动应用APP加密保护的问题,如何对D
Python的创始人为 Guido van Rossum,当时他在阿姆斯特丹的荷兰数学和计算机科学研究学会工作。1989年的圣诞节期间,Guido van Rossum为了在打发时间,决心开发一个新的脚本解释编程,作为ABC语言的一种继承,替代使用Unix shell和C语言进行系统管理,担负同Amoeba操作系统(英语:Amoeba (operating system))的交互和异常处理。之所以选中Python作为编程的名字,是因为他是BBC电视剧——《蒙提·派森的飞行马戏团》(Monty Python’s Flying Circus)的爱好者。
目前针对移动应用市场上安卓APP被破解、反编译、盗版丛生的现象,很多APP开发人员已经意识到保护APP的重要性。而对于移动应用APP加密保护的问题,如何对DEX文件加密尤为重要。那么接下来,我们就先介
其实这篇文章是讲讲最简单的花指令,这标题是写到后面发现 360 爆木马,所以有此题目。
* 本文原创作者:追影人,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 [逆向工厂]第一章节中介绍了逆向技术的相关基础知识,其中提到逆向的两种形式:静态分析、动态分析。 本章将对静态分析技术进行讲解,重点阐述静态分析的原理方法,程序的静态结构,常见流程控制语句的静态反编译形态,并且通过实例来掌握利用IDA逆向工具的静态逆向分析技术。 一、静态分析原理与方法 上一篇章介绍到,程序运行前需要将硬盘内编译好的程序文件装载进内存,然后将指令送入CPU执行,此时程序就像“复活”一样,按照指令的“先后顺序”
首先需要调用工具检查是否带壳,如果病毒还需要先进行脱壳操作。这次研究的“熊猫烧香”程序并没有加壳。首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。
在经历过期末学习怠倦期后,我战战兢兢地打开了(自己搭的蜜罐抓不到样本(╥ω╥`) )
对全人类的健康来说,病毒都是一大威胁,它们突变的速度就跟用于治疗的疫苗和药物发展速度一样快。人类免疫缺陷病毒(HIV)会随着抗病毒药物和治疗方法而改变,意谓着得不断研制新的药物。
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
Stuxnet蠕虫病毒(震网,又名超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 这是有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。此外,该蠕虫的可能目标为
黑客是一个中文词语,在台湾地区对应的中文词语为骇客,皆源自英文hacker,不同地区的中文使用习惯造成了翻译的差别。实际上,黑客(或骇客)与英文原文Hacker、Cracker等含义不能够达到完全对译,这是中英文语言词汇各自发展中形成的差异。Hacker一词,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,逐渐区分为白帽(DengKelen)、灰帽、黑帽等,其中黑帽(black hat)实际就是cracker。到了今天,黑客一词已被用于泛指那些专门利用计算机病毒搞破坏的家伙,对这些人的正确英文叫法是Cracker。在媒体报道中,黑客一词常指那些软件骇客(software cracker),而与黑客相对的是红客。当然,也有正义的黑客
领取专属 10元无门槛券
手把手带您无忧上云