[纵横网络靶场社区]恶意软件后门分析

于 2021-09-21 14:00:40 发布 541 收藏 5
分类专栏: CTF_MISC_Writeup 文章标签: 工控CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/120400851
版权

在这里插入图片描述
在这里插入图片描述
32位的exe文件,修改后缀为.exe,丢进ida里面分析;ida我也是不很懂,直接从start函数块开始分析
在这里插入图片描述
返回了sub_402261()函数块的结果,继续看sub_402261()的内容
在这里插入图片描述
发现这个函数块还是主要执行sub_402174(),继续查看sub_402174()函数块
在这里插入图片描述
发现个ip,提交就对了。。。

flag{5.39.218.152}
末初mochu7
关注
  • 3
    点赞
  • 5
    收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OSX.Mokes.a.后门恶意软件详解
SAKAISON的博客
09-10 971
恶意软件概况  OSX.Mokes.a.后门木马是最新发现的OS X的变种,它是一个跨平台的后门程序,能够在几大主要操作系统(Windows,Linux,OS X)中运行。请参阅我们关于Windows和Linux的变种的分析。 该恶意软件Home族能够窃取各类从受害者的机器窃取不同类型的数据(截图、音频/视频捕捉、办公文件、按键) 此后门程序也能在受害者的计算机上执行任意命令
[译] APT分析报告:04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测
杨秀璋的专栏
10-08 7249
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了APT组织Fin7 / Carbanak的Tirion恶意软件,包括OpBlueRaven行动。这篇文章将介绍一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。其中,DllMain函数反分析检查,以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。
网络安全】Windows恶意软件BazarLoader分析
HBohan的博客
10-30 2944
BazarLoader是基于Windows的恶意软件,主要通过电子邮件等方式传播。犯罪分子通过恶意软件后门访问受感染的主机,并对目标域网络环境进行探测,部署Cobalt Strike,绘制网络拓扑图。如果为高价值目标,犯罪分子就会开始横向拓展,部署Conti、Ryuk等勒索软件。 BazarLoader传播方式 2021年夏天,研究人员发现攻击者通过电子邮件传播BazarLoader恶意软件。目前发现三个攻击活动中使用了该恶意软件: “BazarCall”中使用含有BazarLoader的电子邮件作为初始
如何检测软件后门
weixin_33682790的博客
05-18 1081
如何判断软件是否有后门,可以把软件分为两大类:1.非***系列软件(播放器、即时聊天工具) 2.***系列软件(例如:啊D、S扫描器、**等) 因为大家都知道***系列软件通常都会被杀软报毒,所以必须采用不同的分析方法,分别对待。 检测前,不要运行被检测程序。主要工具有:PEiD0.95汉化版、捆绑文件提取工具1.0、Filemon7.04汉化版、冰刃1.22中文版、下载者监...
恶意软件分析实战03-一个后门的逆向分析
专注软件安全
07-20 360
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
纵横网络靶场社区-wp
qq_43871179的博客
09-26 1422
纵横网络靶场社区(工控安全)-wp https://www.wolai.com/jakie_47/j54AWwKazvALfuYEqyyK5C?theme=light 目前完成了以下题目,因为wolai笔记无法直接导入进csdn上,这里把wolai的笔记链接附上。 大家可以根据下面的预览一下是否有需要查看的题目在点进链接查看详细步骤。 病毒文件恢复 MMS协议分析 S7COMM协议分析 大工UDP协议 Modbus协议 ...
纵横网络靶场刷题记录
最新发布
qq_39608382的博客
11-04 641
ctf工控刷题
纵横网络靶场社区 工控
weixin_51387754的博客
10-31 740
社区旨为工控安全技术爱好者打造线上实训与竞赛社区社区将远程接入虚实结合靶场环境,为工控安全技术研究人员开放基础资源,提供学习交流资源共享平台。
纵横网络靶场社区 MMS协议分析
qq_61993117的博客
09-08 316
排一下包的长度,发现有一个包的长度不正常,点进去看一下内容是一张base64解码的图片。然后把base64后面的数据拿去解码,得到flag。
攻防世界 Crypto高手进阶区 5分题 恶意软件后门分析
闵行小鱼塘
01-08 577
继续ctf的旅程,攻防世界Crypto高手进阶区的5分题,本篇是恶意软件后门分析的writeup
恶意软件Linux/Mumblehard分析
weixin_33950035的博客
03-08 205
杀戮 · 2015/05/05 10:09From:http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf0x00 简介我们发现Linux/ Mumblehard的原因来自于某天某网管联系我们,他的服务器因为不断发送垃圾邮件被列入了黑名单。我们dump了服务器上其中一个奇怪进程的内存,这玩意连接到了一个不同的S...
纵横网络靶场社区-隐藏的黑客
底层社会中的弱智
03-30 779
分析流量包 筛选http协议流量包 使用查询webshell等关键字 找到webshell.php进行取证 可以看出文件以PK开头是一个压缩包文件的头部信息 压缩包中存在webshell.php文件 使用010editor新建Hex文件 复制到010editor中 另存为1.zip 需要解压密码 写个脚本获取upload文件中每个webshell的登陆密码 import os,sys import re if __name__ == '__ma...
纵横网络靶场社区 大工UDP协议
qq_61993117的博客
09-08 185
万能的strings一把梭,找到字符串666c61677b37466f4d3253746b6865507a7d,然后转换进制得到flag,或者加上grep进行查找(这样稍微快一些),指令:strings 文件(加上路径) | grep “flag” 或strings 文件(加上路径) | grep ”666c6167“提到了UDP协议,那么就对协议进行过滤筛选出flag,指令:udp contains “flag”,追踪一下upd流,然后查找flag。在flag的上面可以看到一串hex就是flag了。
纵横网络靶场社区-Modbus协议
越骄傲越显平庸
06-19 298
modbus协议 黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{}拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器和输入寄存器,读取了离散寄存器,题目介绍到他通过协议破坏了正常的业务,那么就是他通过功能码写入或者修改了寄存器数据,目前学习知道的寄存器的功能码有三个,03,06,16。 使用wires...
恶意软件样本行为分析——灰鸽子为例
dengdouweng1282的博客
05-19 1212
第一阶段:熟悉Process Moniter的使用 利用Process Moniter监视WinRAR的解压缩过程。 设置过滤器:进程名称 包含 winrar.exe。应用。 打开Process Moniter的状态下进行如下操作: 创建新建文本文档,内容为学号+姓名。 添加到压缩文件。 解压。 同时观察Process Moniter。 压缩时: ...
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 2263
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
恶意程序分析靶场设置(一)
知柯信息安全
12-01 410
我今天将详细介绍的第一步是虚拟实验室的设置。对于硬件,我使用了旧的游戏计算机。它不再擅长运行游戏,但非常适合进行恶意软件分析。我已经用Debian Linux发行版安装了它,还安装了VirtualBox。 使用虚拟化进行恶意软件分析有优缺点。优点包括创建工作环境快照的能力以及创建虚拟网络的能力。我稍后会解释。我已经了解到的一个缺点是,如果某些恶意软件发现其在虚拟环境中运行,它们的行为就会有所不同。唯一的目的是防止对其进行分析。 因此,在我的设置中,我使用VirtualBox创建虚拟机。我正在..
恶意代码分析实战——恶意程序后门
aming小老弟
02-06 736
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
[纵横网络靶场社区]隐藏的黑客
末初 · mochu7
09-16 864
upload文件夹是一堆webshell 流量包含有部分HTTP流量,发现了一个webshell.zip;foremost尝试分离并没有直接分离出来,猜测可能混合了一些其他数据导致没有直接分离出zip文件。尝试导出HTTP对象 导出的文件夹中发现一些字节流文件,其中发现了zip的字节流数据 使用010 Editor打开,去掉前面5个干扰字节,重命名为flag.zip 有加密,真加密;尝试爆破无果,猜测upload文件夹下的webshell密码中可能存在压缩包密码。Python简单处理提取出这些密码.
[纵横网络靶场社区]工控蜜罐日志分析
末初 · mochu7
09-13 451
西门子私有通信协议是S7COMM,题目要求分析出日志中针对西门子私有通信协议扫描最多的IP,分析日志文件发现针对S7COMM的扫描日志记录都带有s7字样。 所以只需要统计下带有s7字样的每一行中每个记录IP的次数,Pyhotn简单处理下即可 from re import * with open('honeypot.log', 'r') as f: mydict, iplist = {}, [] lines = f.readlines() for line in lines: if 's7'..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值