20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

一、木马化正常软件

  • 基于之前的后门程序,做一些修改。再将修改后的程序的名字改成一个正常软件的名字,蒙蔽用户的眼睛。哈哈哈,瞬间觉得自己好阴险。因为之前安装过Systracer这个工具,这次就把后门程序的名字改为“Systracer安装程序”。

  • 然后双击运行“Systracer安装程序.exe”。并且成功回连到Kali。

  • 但是有个不足之处,就是程序运行后,会弹出一个类似命令行的“黑框”。我觉得稍微懂点电脑知识的人都会察觉到有什么地方不对。
  • 于是我想让后门程序在后台隐藏运行,这样看起来就更完美一些了。要完成这个功能,就需要用到脚本了。刚好上周庞岩梅老师讲到了关于脚本的一些知识。像“.js”“.vbs”后缀的这些脚本都可以在windows环境下直接运行,因为有WSH存在,WSH即windows脚本宿主语言环境。
  • 首先建立一个txt文件,输入如下内容。

  • ws.run后的第一个参数代表你要运行的程序,第二个参数用来控制运行窗口模式,共有0-9模式,其中0是隐藏后台运行。
  • 保存之后,将这个文本文档的后缀改成“.vbs”。然后双击运行。果然“黑框”消失了。并且成功回连了Kali。

  • 我又一想,安装程序一般都是“.exe”后缀吧,但这是个脚本文件。想要骗过用户其实很简单,只要编一个c程序直接system调用这个“.vbs”文件就好了:

  • 对于生成后的exe文件,我将其命名为“木马化正常软件”。双击运行后,“黑框”并未出现,而且成功回连到Kali。

二、DLL注入技术(未完成)

时间: 2024-10-17 04:44:08

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践的相关文章

20145326蔡馨熤《计算机病毒》——代码的动静态分析结合

20145326蔡馨熤<计算机病毒>--代码的动静态分析结合 尝试使用各种动静态工具,对代码9-3.exe进行分析,回答如下问题: 该程序导入了哪些DLL? 先打开PEiD工具查看样例代码.这里发现了4个dll被调用. 另外还有一些dll文件呢,它是在程序运行的时候加载的.我们打开IDA Pro来载入程序进行分析.一般来说,在程序的运行中静态加载的话,会用到LoadLibrary这个函数.我们找找看. 在imports中找到后,双击,然后选中地址交叉引用.type对应的是p的话,说明是函数调用

20145326蔡馨熤《网络对抗》—— Web安全基础实践

20145326蔡馨熤<网络对抗>-- Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御. 原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入.前者由不安全的数据库配置或数据库平台的漏洞所致:后者主要是由于程序员对输入未进行细致地过滤,

20145326蔡馨熤《网络对抗》—— Web基础

20145326蔡馨熤<网络对抗>-- Web基础 1.实验后回答问题 (1)什么是表单. 表单是一个包含表单元素的区域,表单元素是允许用户在表单中输入信息的元素,表单在网页中主要负责数据采集功能,一个表单有三个基本组成部分:表单标签.表单域.表单按钮. (2)浏览器可以解析运行什么语言. HTML(超文本标记语言) XML(可扩展标记语言) ASP.Python.PHP.JavaScript等众多脚本语言. (3)WebServer支持哪些动态语言. JavaScript.ASP.PHP.R

20145326蔡馨熤《网络对抗》——MSF基础应用

20145326蔡馨熤<网络对抗>--MSF基础应用 实验后回答问题 用自己的话解释什么是exploit,payload,encode. exploit:起运输的作用,将数据传输到对方主机. payload:其实就是指装载的"具体内容".就相当于shellcode一样. encode:对需要传输的文件进行编码,使其达到免杀效果. 实验总结与体会 通过这次MSF基础应用的实验.我对MSF里面包括的6个模块都有了一定的认识,先是exploit模块,也就是我们说的渗透模块,包括主

20145326蔡馨熤《网络对抗》—— 网络欺诈技术防范

20145326蔡馨熤<网络对抗>-- 网络欺诈技术防范 1.实验后回答问题 (1)通常在什么场景下容易受到DNS spoof攻击. 通常情况下,计算机受到arp入侵攻击和DNS欺骗攻击,是由于局域网内某台或某几台计算机有毒造成的. 这种攻击非常危险,因为攻击者可能会利用这个技术在公共的wi-fi点上,入侵其他电脑.所以连接一些公共网络的时候,也要慎重. (2)在日常生活工作中如何防范以上两种攻击方法. 输入个人信息前,仔细检查核对域名是否正确. 使用入侵检测系统:只要正确配置和使用入侵检测系

20145326蔡馨熤《计算机病毒》——高级静态分析

20145326蔡馨熤<计算机病毒>--高级静态分析 尝试使用IDA PRO分析文件lab05-01.dll,回答如下问题: 1.PSLIST导出函数做了什么? 首先在view中选择exports窗口,然后找到PSLIST导出函数. 双击PSLIST,然后按空格键,转换为图形模式,这样的话,观察更直观. 双击第一个call语句.看看有什么发现.如图所示. dwplatformid与2进行比较,看现在是不是处于WIN32-NT的这个平台. majorversion与5进行比较, majorver

20145326蔡馨熤《计算机病毒》——静态分析(1)

20145326蔡馨熤<计算机病毒>--静态分析(1) 基于样例代码lab01-01.exe和lab01-01.dll. 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-01.exe的扫描报告如下,点击"行为分析"看看. lab01-01.dll的扫描报告如下.点击"行为分析"看看. lab01-01.exe和lab01-01.

20145326蔡馨熤《计算机病毒》——动态分析(1)

20145326蔡馨熤<计算机病毒>--动态分析(1) 基于样例代码lab03-01.exe 找出这个恶意代码的导入函数和字符串列表. 说到导入函数,当然先想到静态分析里面的Dependency Walker工具. 不过,把恶意代码导入Dependency Walker工具的时候,感觉应该加了壳.所以用PEiD进行查壳. 再用脱壳工具进行脱壳,发现竟然脱壳失败. 再利用PEview查看,发现最开始都是乱码,看来的确加了壳.不过我们依旧可以看到有一些路径信息.还有一个网址.一个exe程序名(可能

20145326蔡馨熤《计算机病毒》——静态分析(2)

20145326蔡馨熤<计算机病毒>--静态分析(2) 基于样例代码lab01-02.exe. 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-02.exe的扫描报告如下,点击"行为分析"看看. 利用PEiD查壳.结果显示的是"什么都没有",这个时候有两个办法解决.一是选择"深度扫描",二是点击"S