来源:蜘蛛抓取(WebSpider)
时间:2017-02-09 20:54
标签:
新硬盘装系统
Javascript 已禁用
请启用 JavaScript,然后刷新页面
请启用 Cookies,然后刷新页面
CV: {{ getCv() }}病毒分析:一款史上最流氓的QQ营销病毒
我的图书馆
病毒分析:一款史上最流氓的QQ营销病毒
在“流量为王”的时代,流量从某种意义上来讲,就意味着金钱。一条依附在流量上的营销产业链条正暗流涌动,他们依靠社交软件这个平台,疯狂加好友、加群,来散播广告、色情、赌博等内容,从而获取流量。
近日,金山毒霸安全实验室发现新型QQ营销病毒,感染到终端的网民无法退出QQ群,也无法举报群,遇到了堪称史上最为流氓的QQ营销病毒。
据金山毒霸安全实验室统计,QQ营销病毒传播感染量高达约15W余万台。感染用户电脑后会强行添加QQ好友、QQ群,邀请好友加群并自动发邮件给QQ营销号。加群后,群内管理员会散播淫秽、赌博、诈骗等违法信息。
二、样本分析
图1:木马传播流程图
1、木马母体分析:
0×1.母体通过读取资源DT_CONFIG内容,初始化基础参数列表:
自动更新 是 渠道号 106 关闭拉群 否 开启调试输出日志 否 开启测试数据 否 云端后台分组ID 1 等待延迟执行时间 5分钟
0×2.生成如下批处理文件,将文件拷贝到临时目录并以_temp_随机名 命名,然后删除自身
move”%s” “%s”
del/q “%s”
del/q “%s”
0×3.为了保证能正常访问云端后台,作者备选了若干C2地址(如下列表),通过访问如sapi.zj3e.com/connect.txt是否可用,如果当前不存在任何可用后台,直接退出,接下来病毒去访问down.zj3e.com/fim/version.txt进行病毒模块检查更新(截至目前最新版本为1.0.70.41)
木马域名列表 sapi.zj3e.com sapi.pj5z.com sapi.wgqsy.com sapi.cnhmb.com sapi.bdbd8.com sapi.pgzs3.com sapi.xhwzs.com sapi.97myj.com sapi.airb2.com
图2:版本检测请求
0×4.当更新完插件后,开始部署插件模块,病毒从自身的资源中读取DT_DLL 然后在temp目录下释放以security_随机名.dll 的文件。
图3:资源中内嵌PE文件
0×5.释放完该释放的模块后,母体开始枚举窗口信息查找 TXGuiFoundation 窗口句柄,通过窗口句柄获取进程ID以远程线程的方式注入QQ。
图4:远程线程方式注入QQ
0×6.将感染者的主机mac地址,渠道版本号,插件版本信息,构造成json格式的字符串。
以RC4 +BASE64的方式加密向远端C&C服务器(sapi.zj3e.com/m.php?encode=加密后的数据)发送终端计算机信息。
图5:上报终端信息
2、security_xxx.dll分析:
该病毒模块主要用于推广QQ好友,QQ群,发邮件给营销类QQ号,通常被推广的QQ号和QQ群多会涉及赌博、淫秽、诈骗、高利贷等内容,病毒为了让利益最大化会利用技术手段禁止用户举报和退群(受感染的终端环境)。禁止退群截图如下所示:
图6:禁止退群
病毒功能列表如下,我们2017.9月份捕获过类似的QQ营销病毒,并对此进行了分析,报告地址:
http://www.freebuf.com/column/148889.html,此篇报告将抽取与以往QQ营销病毒不一样的点进行功能分析
序号 功能 1 强制添加好友 2 自动添加营销群 3 QQ发邮件给营销号 4 禁止举报群 5 禁止退群 6 收集群好友信息 7 邀请他人进营销群 8 获取好友列表
1.自动加群和邀请其他好友加群:
通过云端获取到要加的营销QQ群和营销QQ号后,利用QQ快速登录获取到的当前用户uin、skey和token,登录https://qun.qq.com/member.html获取群数据,接下来请求https://qun.qq.com/cgi-bin/qun_mgr/get_friend_list获取感染者QQ好友列表, http://qun.qq.com/cgi-bin/qun_mgr/add_group_member发送添加群成员数据邀请QQ好友进群(图七),并inline Hook了ShowWinow函数通窗口信息获取函数得到窗体信息,如果是“添加好友窗口”和“添加群窗口”,模拟点击完成自动添加(图九)
图7:邀请加群
图8: 邀请QQ好友进群
图9:模拟点击
图10:博彩广告
2.禁止退群:
开发者通过逆向等技术手段得知禁止退群的导出函数,对Common.dll模块中的?oi_symmetry_encrypt2@@YAXPBEH0PAEPAH@Z函数进行inlineHook。
图11:禁止退群HOOK代码
3.禁止举报QQ群:
ShowWindow被inlineHook后判断是否为举报窗口并阻止用户举报。
图12:禁止举报群
三、产业分析
如下图所示,黑色产业链条从整体分工层次上看相对比较清晰,木马作者、分发传播、发布广告构成了黑色产业链的关键环节。
图13:黑色产业链环节流程图
从实际运作来看整个圈子又具有一定程度的复杂性,除了上述几个重要参与角色,每个产业链环节还会有一些其他黑产人员参与其中,比如说卖感染者QQ号码信息等,具有一定技术实力的团伙才是暴利所得者;可能会包揽整个链条的多个甚至是全部环节,其暴利收益自然也是最高的。
图14:黑产QQ群
四、作者溯源
作者在代码中用了若快打码平台(ruokuai.com),根据留下来的线索,我们发现作者一共使用该平台打码了55W次。从打码平台的登陆IP信息来看,作者是河南新乡人,目前居住在四川,在2013年的时候已经开始学习盗号等技术。
图15:打码平台
充值纪录:
图16:充值记录
作者常用登陆IP地址为四川省:
图17:作者常用登陆IP地址
疑似作者早期已经开始接触盗号等技术:
图18:疑似作者在百度贴吧发贴
作者从2014年开始的登陆IP地址:
图19:2014年开始作者登陆IP地址
疑似作者的QQ 号:
图20:疑似作者QQ号
本文从典型样本、黑产链条、追踪等多个方面对“QQ营销病毒”背后的黑色产业链进行了一些剖析总结,可以看出黑产的形成运作是一个复杂交错的产物。我们对它的了解可能还比较片面,其中的”隐秘内幕”也远超这篇文章所能揭露的。金山毒霸安全实验室建议用户做好以下防范措施:安装安全软件,可以有效对推广软件、后门程序、木马等进行全方位查杀,保护系统安全。养成良好上网习惯,不随意点击来历不明的网页链接,远离赌博、色情类网站。&&& & & & & & & & & & & & &流氓+强盗 新型QQ营销病毒正在兴风作浪&在“流量为王”的时代,流量从某种意义上来讲,就意味着金钱。一条依附在流量上的营销产业链条正暗流涌动,他们依靠社交软件这个平台,疯狂加好友、加群,来散播广告、色情、赌博等内容,从而获取流量。& & 近日,安全实验室发现新型QQ营销病毒,感染到终端的网民无法退出QQ群,也无法举报群,遇到了堪称史上最为流氓的QQ营销病毒。禁止退群截图& & 据金山毒霸安全实验室统计,QQ营销病毒传播感染量高达约15W余万台。感染用户电脑后会强行添加QQ好友、QQ群,邀请好友加群并自动发邮件给QQ营销号。加群后,群内管理员会散播淫秽、赌博、诈骗等违法信息。木马传播流程图& &去年9月份,金山毒霸安全实验室就捕获过类似的QQ营销病毒,并对此进行了分析,报告地址:,而本次捕获的QQ营销病毒在功能分析上与以往有许多不同点,具体情况如下:& & 经金山毒霸安全研究员溯源后发现,QQ营销病毒背后存在一条庞大的黑色产业链。链条从整体分工层次上看相对比较清晰,木马作者、分发传播、发布广告构成了黑色产业链的关键环节。& & 从实际运作来看,整个圈子又具有一定程度的复杂性。除了上述几个重要参与角色,每个产业链环节还会有一些其他黑产人员参与其中。比如说卖感染者QQ号码信息等,具有一定技术实力的团伙才是暴利所得者。他们可能会包揽整个链条的多个甚至是全部环节,其暴利收益自然也是最高的。黑产QQ群作者溯源& & 作者在代码中用了若快打码平台(ruokuai.com),根据留下来的线索,金山毒霸安全研究员发现,作者一共使用该平台打码了55W次。从打码平台的登陆IP信息来看,作者是河南新乡人,目前居住在四川,在2013年的时候已经开始学习盗号等技术。打码平台充值纪录:作者常用登陆IP地址为四川省:疑似作者早期已经开始接触盗号等技术:作者从2014年开始的登陆IP地址:疑似作者的QQ 号:& & 从典型样本、黑产链条、追踪情况等多个方面,金山毒霸安全研究员对“QQ营销病毒”背后的黑色产业链进行了一些剖析总结,可以看出黑产的形成运作是一个复杂交错的产物。然而,我们对它的了解可能还比较片面,其中的”隐秘内幕”也远超文章中所能揭露的。& & 金山毒霸安全实验室建议用户做好以下防范措施:安装安全软件,如金山毒霸,可以有效对推广软件、后门程序、木马等进行全方位查杀,保护系统安全。养成良好上网习惯,不随意点击来历不明的网页链接,远离赌博、色情类网站。在“流量为王”的时代,流量从某种意义上来讲,就意味着金钱。一条依附在流量上的营销产业链条正暗流涌动,他们依靠社交软件这个平台,疯狂加好友、加群,来散播广告、色情、赌博等内容,从而获取流量。一、前言在“流量为王”的时代,流量从某种意义上来讲,就意味着金钱。一条依附在流量上的营销产业链条正暗流涌动,他们依靠社交软件这个平台,疯狂加好友、加群,来散播广告、色情、赌博等内容,从而获取流量。&近日,金山毒霸安全实验室发现新型QQ营销病毒,感染到终端的网民无法退出QQ群,也无法举报群,遇到了堪称史上最为流氓的QQ营销病毒。&据金山毒霸安全实验室统计,QQ营销病毒传播感染量高达约15W余万台。感染用户电脑后会强行添加QQ好友、QQ群,邀请好友加群并自动发邮件给QQ营销号。加群后,群内管理员会散播淫秽、赌博、诈骗等违法信息。二、样本分析&&&图1:木马传播流程图1、木马母体分析:0×1.母体通过读取资源DT_CONFIG内容,初始化基础参数列表: 自动更新
开启调试输出日志
开启测试数据
云端后台分组ID
等待延迟执行时间
5分钟 &0×2.生成如下批处理文件,将文件拷贝到临时目录并以_temp_随机名 命名,然后删除自身move”%s” “%s”del/q “%s”del/q “%s”&0×3.为了保证能正常访问云端后台,作者备选了若干C2地址(如下列表),通过访问如sapi.zj3e.com/connect.txt是否可用,如果当前不存在任何可用后台,直接退出,接下来病毒去访问down.zj3e.com/fim/version.txt进行病毒模块检查更新(截至目前最新版本为1.0.70.41) 木马域名列表
sapi.zj3e.com
sapi.pj5z.com
sapi.wgqsy.com
sapi.cnhmb.com
sapi.bdbd8.com
sapi.pgzs3.com
sapi.xhwzs.com
sapi.97myj.com
sapi.airb2.com &图2:版本检测请求&0×4.当更新完插件后,开始部署插件模块,病毒从自身的资源中读取DT_DLL 然后在temp目录下释放以security_随机名.dll 的文件。&&&&&&&&&&&&&&&&&&&&&&&&&&& 图3:资源中内嵌PE文件&0×5.释放完该释放的模块后,母体开始枚举窗口信息查找 TXGuiFoundation 窗口句柄,通过窗口句柄获取进程ID以远程线程的方式注入QQ。&&&&&&&&&&&&&&&&&& 图4:远程线程方式注入QQ&0×6.将感染者的主机mac地址,渠道版本号,插件版本信息,构造成json格式的字符串。以RC4 +BASE64的方式加密向远端C&C服务器(sapi.zj3e.com/m.php?encode=加密后的数据)发送终端计算机信息。&&&&&&&&&&&&& &&& 图5:上报终端信息&2、security_xxx.dll分析:该病毒模块主要用于推广QQ好友,QQ群,发邮件给营销类QQ号,通常被推广的QQ号和QQ群多会涉及赌博、淫秽、诈骗、高利贷等内容,病毒为了让利益最大化会利用技术手段禁止用户举报和退群(受感染的终端环境)。禁止退群截图如下所示:&&&&&&&&&&&&&&&&&&&&&&&&&&& 图6:禁止退群&病毒功能列表如下,我们2017.9月份捕获过类似的QQ营销病毒,并对此进行了分析,报告地址:,此篇报告将抽取与以往QQ营销病毒不一样的点进行功能分析 序号
强制添加好友
自动添加营销群
QQ发邮件给营销号
禁止举报群
收集群好友信息
邀请他人进营销群
获取好友列表 &1.自动加群和邀请其他好友加群:通过云端获取到要加的营销QQ群和营销QQ号后,利用QQ快速登录获取到的当前用户uin、skey和token,登录获取群数据,接下来请求获取感染者QQ好友列表,&发送添加群成员数据邀请QQ好友进群(图七),并inline Hook了ShowWinow函数通窗口信息获取函数得到窗体信息,如果是“添加好友窗口”和“添加群窗口”,模拟点击完成自动添加(图九)&&&&&&&&&&&&&&&&&&&&&&&&&&& 图7:邀请加群&&&&&&&&&&&&&&&&&&&&&&& &&& 图8: 邀请QQ好友进群&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&& 图9:模拟点击&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 图10:博彩广告&2.禁止退群:&&&& 开发者通过逆向等技术手段得知禁止退群的导出函数,对Common.dll模块中的?oi_symmetry_encrypt2@@YAXPBEH0PAEPAH@Z函数进行inlineHook。&&&&&&&&&&&&&&&&&&&&&&&&&&& 图11:禁止退群HOOK代码&3.禁止举报QQ群:ShowWindow被inlineHook后判断是否为举报窗口并阻止用户举报。&&&&&&&&&&&&&&&&&& & & &&图12:禁止举报群&三、产业分析如下图所示,黑色产业链条从整体分工层次上看相对比较清晰,木马作者、分发传播、发布广告构成了黑色产业链的关键环节。&&&&&&&&&&&&&&&&&&&&&&&&&&& &图13:黑色产业链环节流程图&从实际运作来看整个圈子又具有一定程度的复杂性,除了上述几个重要参与角色,每个产业链环节还会有一些其他黑产人员参与其中,比如说卖感染者QQ号码信息等,具有一定技术实力的团伙才是暴利所得者;可能会包揽整个链条的多个甚至是全部环节,其暴利收益自然也是最高的。&&&&&&&&&&&&&&&&&&&&&&&&&&&& &图14:黑产QQ群四、作者溯源作者在代码中用了若快打码平台(ruokuai.com),根据留下来的线索,我们发现作者一共使用该平台打码了55W次。从打码平台的登陆IP信息来看,作者是河南新乡人,目前居住在四川,在2013年的时候已经开始学习盗号等技术。&&&&&&&&&&&&&&&&&&&&&&&&&&& 图15:打码平台&充值纪录:&&&&&&&&&&&&&&&&&&&&&&&&&&& 图16:充值记录&作者常用登陆IP地址为四川省:&&&&&&&&&&&&&&&&&&&&&&&&&&& 图17:作者常用登陆IP地址&疑似作者早期已经开始接触盗号等技术:&&&&&&&&&&&&&&&&&&&&&& & 图18:疑似作者在百度贴吧发贴&作者从2014年开始的登陆IP地址:&&&&&&&&&&&&&&&&&&&&&& 图19:2014年开始作者登陆IP地址&疑似作者的QQ 号:&&&&&&&&&&&&&&&&&&&&&& &图20:疑似作者QQ号&五、总结本文从典型样本、黑产链条、追踪等多个方面对“QQ营销病毒”背后的黑色产业链进行了一些剖析总结,可以看出黑产的形成运作是一个复杂交错的产物。我们对它的了解可能还比较片面,其中的”隐秘内幕”也远超这篇文章所能揭露的。金山毒霸安全实验室建议用户做好以下防范措施:安装安全软件,可以有效对推广软件、后门程序、木马等进行全方位查杀,保护系统安全。养成良好上网习惯,不随意点击来历不明的网页链接,远离赌博、色情类网站。& & & & & & & & & & & & 抵房贷款百万买收藏品& & & & & & & & & & &独居老人成骗子“优质客户”近年来 众多“投资收藏品”骗局纷纷盯上了老年人他们打着投资的幌子以低价销售、高价回收为诱饵将老年人的养老钱收入囊中等老人需要支取时不进行兑现更有老人在收藏品公司的忽悠下背着家人抵房贷款百万购买收藏品点击查看视频↓↓↓抵房贷款百万买收藏品(新京报动新闻出品)78岁的廖永林(化名)家住北京城中村,从2010年起独居,在收藏品公司的推销下,陆续买进了粮票、纪念币、书画等收藏品。有收藏品拍卖公司估值他的两套邮票值五千万元,不过要拍卖得先交1万元保费。几次交钱后廖永林的藏品都没有拍卖成功,他意识到被骗了。▼和廖永林(化名)一样,85岁的杨慧(化名)也陷入了收藏品拍卖公司的套路,她没把自己的藏品卖掉多少,反而花了不少钱买进藏品。杨慧我不想买收藏品,就是无奈买的这些东西,就是说我在想卖我的东西的时候,我不跟人家(收藏公司)合作就好像不行,就得要合作,就得要买点他的东西。杨慧(化名)租房独居,一般过年时才见到子女,她不愿意告诉子女买收藏品的事。平时在家她还会接到保健品推销电话。您不想提高记忆力吗?实际上咱们这个人体,就是身体有各种各样的病,都是因为什么?都是因为淤和堵住,堵住了咱们腿疼啊腰疼啊所有的病都是因为淤堵,但是地黄,它是打通人体经络的,把这个淤堵的东西都给他清理出去。销售员骗子套路通过统计十名受骗老人情况发现,他们多是独居,和子女沟通不多,保健品、收藏公司推销员却常利用这点,打温情牌套路老年人。骗子的温情套路多是注意维护与老人的关系。比如认干亲、提水果到老人家、帮忙扫地倒垃圾、在菜市场门口发礼品领取单、对老人撒娇让其来“捧场”等。同时,骗子抓住部分老年人有收藏爱好,但不具备识别收藏品真伪的特点以“高价回购”、“溢价回购”等口号作为招揽顾客的“制胜法宝”,进行诈骗。▼面对套路,69岁的张佩芳(化名)却认为......张佩芳这么大岁数了,谁都反对我这那的,你越反对我买(保健品),我伸手就买定了,人活不就活的一口气嘛,你说是不是?记者查询张佩芳(化名)买的众多保健品发现,售价上千元的产品,多在食药监官网上查不到相关信息。除了吃保健品,张佩芳(化名)还抵押了自己的房子,贷款一百多万元买钱币。她表示,推销员说钱币以后拍卖了能赚300多万元。实际上,新京报此前就曾曝光过该推销公司向老人高价推销廉价钱币,公安、工商等部门已介入调查。▼为何父母宁愿相信陌生人也不信家人呢?一位受骗老人的女儿反思:“出了这样的事,家里也有责任”据心理专家表示,老人最怕的是寂寞和无用感,骗子是聪明的心理学家,代替了父母心里对子女的要求和需求。也正是因为子女不懂如何安排父母退休后的生活,才给骗子钻了空子。猎豹移动安全专家表示在这个互联网时代,大部分骗局都是通过网络进行传播。而老年人对社会上的新兴行业并不了解,使得骗子有机可趁。作为儿女,我们应多与老人们交流,向老人传播一些网络安全知识,了解各类诈骗手法。告诫老人平时不要相信陌生来电,即使对方知道你的所有信息。同时,建议给老人的手机上安装安全防护软件,如猎豹安全大师,有效拦截诈骗电话、虚假短信,避免掉进骗子的陷阱。当发现老人被骗后,子女不应埋怨,而是应该多安慰老人,想出一些事情让老人做,让老人有价值感,让他们感觉能够被人需要。& & & & & & & & 深度剖析"购买纪念币"骗局,已令多人血本无归!相信不少人,都有收藏纪念币的爱好。有些人是为了留作纪念,而有些人是期待它可以升值。当然,小编家中也存了那么几个,坐等哪天卖个好价钱走向发家致富之路,想想还有点小激动呢!& && && && && && && && && && && &然而,正是因为纪念币有收藏价值,一些不法分子趁虚而入,借机炒作来销售虚假纪念币来敛财。所以,购买纪念币的同时一定要小心谨慎哦!就在今年4月,央视就曝光了一起关于纪念币的电信诈骗案。事件回顾:& && &浙江宁波象山市民付女士接到电话,对方自称“平安银行的小沈”,向她推销金银纪念币和纪念品。因为付女士是平安银行的客户,所以当时对“小沈”的身份并没产生怀疑。“小沈”电话里告诉付女士,有个收藏品很有价值,现在买一套几千,过后会涨几倍。将信将疑的付女士试着买了一套。“小沈”告诉付女士,这个收藏品下次肯定涨值。因为她是老客户,平安银行信用卡用得很好才受到照顾的。9月12日要对内部收藏品的人进行收购,有7万元的价值。听后动心的付女士,最终又花2万元买了六套金银纪念币、纪念品。时间过去了半年多, 差不多到了小沈说的公司回购纪念币的时间,可是对方一直没有关于回购的准确时间和具体安排。付女士有点按捺不住了,她给小沈打了电话询问,电话那头只有一句话:"快了,快了。"付女士催的次数多了,对方干脆直接把她拉黑了,付女士这才意识到自己被骗了。而后期经专业人士验证,这些所谓的"金银纪念币"都是假冒的,平安银行也从未发行过付女士购买的纪念币。安全提醒:& && &如果一套售价在两三千元的贵金属纪念币号称几个月后可回购,回购价能翻至七八千元一套,那你可就要小心了,这很明显是诈骗!除了以上所说的电话诈骗,一些不法分子还会通过qq或微信等社交软件推广传播虚假纪念币抢购网站,此类网站图片一般制作精美,措词激昂,很让人有一种看到就想购买的冲动,如下图:& && &这些所谓的“神州系列”的纪念币趁着神州11号和天宫二号的热劲儿被许多人所关注,然而只要仔细分析网站上标榜的各种卖点或者信息就不难发现其骗人的把戏,下面我们就来一一剖析:把戏一:标榜中国航天基金会授权& & 中国航天基金会是经中国人民银行批准、在国家民政部登记注册的全国性公募基金会,我国航天领域对外募捐、接受捐赠、赞助的唯一合法组织,其官网为:,经在官网查询所有相关公告或新闻,没有发现任何所谓的“授权发行纪念币”的相关信息。把戏二:吹嘘使用飞船的整流罩(残骸)制造纪念币& && &整流罩会在箭船分离前脱落并坠入地表,整流罩材料大部分是复合材料,例如陶瓷,复合纤维,钛合金,铝合金,不锈钢等等,虽然部分材料能加工成纪念币,但这些都是花费大量人力物力的高科技研究成果,经受过实践考验后的宝贵材料拿回去仔细分析研究还来不及,怎么可能会沦落到制造纪念币的地步,要不然每次飞船或卫星发射后ZF会派专职部队满世界寻找残骸回收。把戏三:号称纪念币由德国造币厂制造&&& && &先不说飞船的整流罩是否允许造币,就是要运到德国也是个问题,并且纪念币的印制、发行权属于中国人民银行所有,任何其他机构和个人都无权发行,而中国人民银行指定的专门制作纪念币的企业只有沈阳造币有限公司、上海造币有限公司和深圳国宝造币有限公司。把戏四:标榜5万套绝版& && &我国发行的纪念币只能由中国人民银行指定国家造币厂设计制造的,并由中国人民银行指定各商业银行统一发行。凡在新的纪念币发行前都会在中国人民银行官网:&提前发布公告并明确规定各省,自治区,直辖市的发行数量和各地区代为发行的商业银行(明确规定只有指定银行才有权代为发行)以及预约和兑换时间。而经在中国人民银行官网检索后只发现有2015年的纪念币发行公告,如下图:把戏五:中国纪念币印有美国1 DOLLARS字样& &&&网站图片中面值显示的是1DOLLARS(美元),即使是中国委托德国造币厂造的,最后还是得在中国发行,那么面值就不该显示是美元而是人民币面值,再退一步说在德国造的面值是德国马克也不奇怪,跟美元八竿子打不着,另外中国人民银行发行的除了有面额外,币面上会还会刊有国名、年号等信息,它代表国家的法定货币,可以用于流通。下图为中国人民银行定于日发行中国航天普通纪念币图案:(正面)&&(反面)& && &这时可能有人会问,不法分子在制造的”纪念币“上怎么不刊人民币面额,国别等信息?其实,不法分子账主要是打法律插边球,因为法律规定禁止企业和个人仿制流通货币,所以才会刊“1 DOLLARS”字样,而不刊人民币面额,年号,国别等信息的纪念币充其量只能叫纪念章,而纪念章基本没有收藏价值和升值潜力。把戏六:标价与币值严重不符& && &网站标价一套12枚1980元,可以往由中国人民银行发行过的纪念币都是等值兑换,纪念币它代表国家的法定货币,可以用于普通流通,所以即使网站上售卖的纪念币是真的,那么一套12枚1元面值(即使是1美元面值)的纪念币在指定银行兑换时也只需要12元人民币或者12美金,不可能需要1980元。把戏七:多个不同域名推广销售不靠谱& && &在搜索引擎中搜索“神舟飞船纪念币”,会发现各种不同主体所属的网站都在推广销售,如下图:& && &如果真只发行5万套,这些商家都是从什么渠道获取货源值得怀疑。再说既然只有5万套,通过全国四大国有商业银行分分钟就会被兑换完,根本不可能经由这些不知名的商家销售。&& &&&所以仅仅根据网站上吹嘘的各种不靠谱的卖点就可以断定这些所谓的纪念币都是骗人的,一旦有用户不明真相提交了自己的联系方式和收货地址,则骗子就会委托快递公司以代收货款的方式给受害者寄送根本不值钱或不具收藏价值的假纪念币,当受害者收到货物时快递人员会要求先支付货款后才能开箱验货(快递公司一般规定只有快递单上注明支持验货或者在有监控的环境下才接受先验货再收款),而一旦付款,即使当场验货发现是假货,快递员也不回直接退款给受害者,必须受害者自己找商家协商退款。&那么我们应该如何鉴别此类虚假网站呢?别!担!心!手机安装上,就可以高枕无忧啦!因为它可帮你精准识别此类虚假网站!以下是猎豹安全大师拦截虚假网站截图:此外,建议大家通过正规途径去购买纪念币,比如银行网点,防止被骗!央视揭秘保健品骗局:洗脑+亲情牌 专坑咱爸妈生活当中我们经常会听到做子女的有这样的抱怨说自己的父母为什么总是对保健品情有独钟家中各式各样的保健品已堆积如山为何还是不能停止购买的脚步更可怕的是有些老人明明是身体抱恙却仍轻信保健品营销人员的说法甚者把药都给停了为何越来越多老年人陷入保健品骗局?保健品营销又暗藏了怎样的猫腻?▼暴利!一盒保健品售价高达7576元,是进价的六倍多& & 央视财经节目曝光了一家专门向老年人销售保健食品的公司。该公司主推的一种保健食品,每盒售价是7576元,而实际进价仅1200元。& & 销售人员反复宣称,麦卡多安具有神奇的四防功效,其所谓“四防”,就是防中风、防心梗、防心衰、防骨折。& & 那么这种保健品真有那么神奇吗?经了解后发现,这种叫麦卡多安的口服液属于保健食品,其功能是补钙、补镁,并没有防中风、防心梗、防心衰、防骨折的功效。国家食药监总局官网查询结果& & 国家食药监总局的官网同时警示,这种保健品不能替代药物,不宜超过推荐量食用,不得与同类营养素补充剂同时食用。& & 但该公司的销售员对国家食药监总局的警示置若罔闻,大肆疯狂推销。他们在推销这种保健品时,根本不会从老年人的身体状况考虑,而是看老年人的经济实力,钱少就少推销,钱多则忽悠老年人多吃。那么销售员是如何忽悠的呢?揭秘!保健品洗脑+连环骗局& & 据了解,该保健品公司会是先把老年人组织起来,以旅游或者养生的名义,带到外地参加一个名为“两天一夜”的会场。名义上是请老人过来旅游养生,实际上从第一天中午到达所谓的养生基地之后,后面的整个安排就是以宣讲产品为主。& & 想要吸引老年人参加两天一夜的活动,前期还要获得老人的信任。这些保健品销售人员会专门去老人的家里,做一些服务性的事情,有的人会通过和老人认干爸干 妈方式套近乎。总之,为了能把客户约到两天一夜的会场,什么样的方式都可以用。而只要一到了会场,老人们可就身不由己了。1、宣讲中,都会首选宣称自己是在从事“防中风、防心梗、防心衰、防骨折”的四防工程建设,实际上是给自己捏造一个子虚乌有的光环。2、初步洗脑过后,还会对给老年人安排免费体检。但这一步实则套路,不仅歪曲体检结果,还会对老年消费者进行误导和恐吓,为后续推销保健品做铺垫。3、接下来,“专家医师”、“公司董事长”、“高级讲师”开始频频出台表演。医师讲对策、董事长讲政策、老师讲疗效,实际上就是怂恿老人购买产品。& & 据调查发现,不少购买了产品的老人,所花费用非常惊人,少的有几万元,多的高达几十万元。而大多数老人的退休工资,只有一两千元。对于那些已经没有钱来购买保健品的老人也没有被放过,而是让他们向公司借钱继续购买保健品,然后用以后的退休金来偿还。就这样,老人在层层布局之下,陷进了这些保健品公司设置的圈套。思考!为什么这些骗局针对老年人①老人看重自己的身体。奔波了大半辈子,现在该亨福了,身体却每况愈下。所以只要宣传对身体有好处的商品,都会买。②老人孤独寂寞。因为儿女长大后,远离父母在外搞事业、打拼挣钱,很少回家陪老人,这样老人为了解“闷",就到搞健康讲座、免费电疗的地方凑热闹。③老人们手里有钱。加上退休金手头有很多闲钱,吃个什么保健品的,舍得。④老年人较"糊涂"。随着年龄的增长,老人们思维较迟钝。分辨不出好坏真假,容易被那些不良保健品推销商给忽悠。& &有些独居的老人,很希望与人交流,骗子们就抓住这一点搞感情促销。作为子女,我们平时应多陪陪老人,多跟他们沟通,尽量的灌输新的思想,提高安全防范意识。安全专家也提醒老年消费者:1、当身体不适或者寻求保健时,应当到正规医院向医生寻求帮助;2、参加健康讲座时,一定要提高警惕,不轻信经营者推销保健品的功效。如确实需要购买,应询问清楚经营者的经营资质以及保健品生产审批资质;3、一旦发现所谓的“健康讲座”骗局,及时报警,以挽回财产损失。4、坚持阅读渔村安全【扫描下方关注公众号】的防骗知识,有任何怀疑可能是骗局的,随时留言!& & & & & & & &病毒分析基础第&1&章病毒分析病毒分析是将病毒行为还原的过程,在此过程中病毒的行为流程将被分解,病毒的每一步操作都有可能影响正常的操作系统配置或文件。病毒分析的基础是依托于逆向工程的基础,所以在做病毒分析工作之前好好学习下逆向工程知识。如果在实体机里分析病毒的话,会影响到实体机的日常使用,所以我们需要建立虚拟的环境来分析病毒。1.1&建立病毒分析环境用虚拟环境来分析恶意程序早在2000年就已经开始采用,推荐使用VMware或Virtual PC来建立虚拟环境。操作系统根据病毒运行平台可以建立多个虚拟操作系统,例如:WindowsXP,Windows 2003,Windows Vista,Windows 7,CentOS等。安装好干净的操作系统之后,做好第一次快照,然后将分析工具配置好,需要的工具可以根据不同的需要随时添加。1.2&病毒分析工具病毒分析过程中需要用的软件很多,这里只介绍一些常见分析软件。1.&&1& PEid&侦察程序信息工具2.&&& 2 SystemSafety Monitor(SSM)&系统监控软件3.&&& 3&FileMon&&文件监控4.&&& 4&RegMon&注册表监控5.&&& 5 TcpView网络连接监控6.&&& 6&Smsniff&&网络数据监控7.&&& 7WireShark&网络数据采集分析8.&&& 8&OllyDbg&动态分析工具9.&&& 9 IDA&静态分析工具10.& 10 WinDbg&内核态调试器11.& 11 eXeScope&资源查看编辑12.& 12& WinHex&&十六进制编辑工具13.& 13& LoadPE手动脱壳工具14.还有其他一些工具可以按个人的使用习惯选择使用,可以在网上搜索获得。1.3&病毒分析过程每个专业的病毒分析研究员都有自己的分析习惯,但大致的分析过程是类似的,可以总结概括成两种方式:动态分析和静态分析。不过在动态或者静态分析之前可以在虚拟机中直接运行病毒样本,通过监控软件观察病毒的大致行为,经验丰富的病毒分析工程师可以直接看出这是什么类型的病毒。1.3.1&动态分析需要研究病毒的每一个操作,最直观的分析方式就是动态分析。动态分析借助调试工具,将病毒样本加载进内存,通过调试器的命令跑每一条指令,可以看到病毒借助了哪些API执行了哪些恶意行为。动态分析最常用的工具就是OD,在使用OD之前得学习汇编语言。动态分析的大致步骤如下:1)查看文件信息,是否加壳,是由何种语言编写的;2)如果加壳则需要脱壳;3)寻找Main函数,一般病毒行为都在Main函数里,也就是自己写的代码;4)单步调试分析,OD中按F8单步过每条指令,遇到Call函数则F7步入;5)记录每个关键行为,如创建文件,拷贝文件,创建服务,启动服务,连接网络等;6)如果有释放出来的文件,则需要采集出来进一步分析;7)直至Main函数结束,才分析结束。动态调试分析需要熟悉编程使用到的API,也可以遇到时查询MSDN。动态调试也有很多技巧,如可以直接看导入表中的函数,对一些敏感的API下断点,然后F9跑样本,就可以节省一些分析时间。1.3.2&静态分析有些病毒样本没法动态分析,例如一些动态链接库(.DLL),缺乏运行库的程序等,由于无法像正常程序一样加载进内存调试,所以只能采用静态分析的方式。静态分析能力最强的工具非IDA莫属,逆向分析工程师IDA分析能力是必备的。IDA帮逆向工程师解决了很多问题,能显示所有API和编译器代码。同样静态分析对汇编语言的要求也很高,如果看不懂汇编语言就无从谈分析了。静态分析的大致步骤如下:1)用IDA打开要分析的文件,让它自动加载并分析完成;2)如果是exe程序,则从Main函数开始分析,遇到Call按回车进入;3)如果是dll程序,则按Ctrl+E查看导出函数入口;4)对每个导出函数进行分析;5)按Shift+F12查看字符串,对敏感的字符串双击进去,按X键可以查看哪里在调用;6)查看导入函数,对一些敏感的API函数,查看API调用地方的上下文,分析进行了哪些操作;7)如果安装F5插件,可以按F5让IDA把汇编还原成源代码,这样查看就明了多了;静态分析需要熟悉病毒的行为,有经验的分析师可以很快的根据API就能猜测出是什么类型的病毒。IDA功能十分强大,可以学习一些书籍来挖掘它的强大之处。1.4&病毒行为鉴定如果鉴定样本是否为病毒,是通过行为来判断的,大多数病毒的行为有一下几种:1)拷贝自身文件到系统目录下,如system目录,system32目录,windows目录等;2)释放*.DLL文件到系统目录下;3)释放物的取名于系统文件名类似,如svch0st.exe,winlogin.exe等;4)注入进系统进程,如svchost.exe,explorer.exe,iexplore.exe等;5)创建服务,服务的执行路径为病毒文件,大多用来作为自启动;6)病毒文件被设置为隐藏属性;7)设置键盘钩子或鼠标钩子,监视正常用户的操作;8)替换系统文件;9)感染可执行文件;10)设置注册表键值,自启动或隐藏;11)连接远程地址,下载恶意文件并执行;12)开启本地端口,接受来自远程的控制;13)修改病毒本身后缀名,如cc3,jpg,tmp等;14)创建很隐蔽的路径释放病毒文件。15)修改HOST文件;16)释放驱动.sys文件篡改系统IDT表等;1.5&注意事项·&虚拟机断网;·&虚拟机中不能只有C盘;·&样本不要以.exe形式保存在本机;·&释放出来的文件也很重要;·&不要遗漏.doc,.pdf,.xls等后缀的文件------------------------------------------第&2&章样本提取一个反病毒工程师不仅应该会分析已有的病毒样本,还应对系统中的异常对象有敏锐的嗅觉,通过专业的手段将病毒样本提取出来。2.1&发现经常有人觉得自己的系统有异常,但不知道如何查找问题的所在。即使没有发现系统有异常,也应该时常关注下系统是否有被植入病毒。接下来介绍下挖掘的方法。2.1.1&网络数据包挖掘可以安装防火墙软件,推荐comodo防火墙。可以查看系统正在连接的远程地址,查看是否有异常的连接。例如:1)未知程序连接了远程的某个IP地址;2)系统程序连接了远程的某个IP地址,重点查看svchost.exe进程的连接;3)访问异常域名;4)有连入的远程地址;5)如果访问一堆诡异的域名,那很可能中了蠕虫病毒;6)有规律性的连接某个IP地址或域名;通过以上特征可以初步判断系统是否存在异常。2.1.2&系统运行程序挖掘查看正在运行的程序,可以借助ARK工具查看,推荐XueTr。1)查看所有正在运行的程序,检测其路径是否正确;2)检测运行程序的数字签名;3)检测运行程序所属厂家;4)检测运行程序的加载模块,是否有异常的加载项;5)检测系统驱动程序是否有异常,重点检测没有数字签名的程序。6)检测系统环境变量是否被篡改;通过以上特征可以大致判断系统是否存在木马病毒文件。2.1.3&系统启动项挖掘病毒一般都会有自启动项来保证系统重启之后继续运行,还是借助ARK工具。1)查看注册表启动项;2)查看随机启动的服务项目;3)查看自启动目录下的文件;4)查看计划任务;启动项相对比较难判断,因为系统一般都有很多随机启动的项目,尽量将不熟悉或未知的启动项禁止。2.2&提取样本提取的难易是相对病毒的猥琐程度而言的,没有做保护的病毒样本可以通过复制粘贴拷贝出来,但有很多样本是无法直接拷贝的,例如有多个进程的守护,注入进系统的进程,有驱动保护等等。这里介绍两种提取方式:l&解锁提取可以通过Unlocker软件将样本解锁,拷贝出来。l&内存提取可以通过WinHex获取系统内存数据,复制内存中的文件镜像。提取出来的样本,不要用.exe后缀存放,一般改后缀为.v。这样是防止因为误操作双击了样本,导致本机被感染。2.3&检测提取出来的样本可以通过杀毒软件来检测,这里推荐两个网站,可以将样本上传上去,会反馈出世界上著名的杀软的查杀信息:http://www.virustotal.comhttp://www.virscan.org个人觉得要学会病毒分析,主要有两个方面:A:病毒行为&B:逆向分析首先要具备A,再进行B不要一开始就去看一些带有反汇编分析的病毒分析文,那只会让你迷茫。首先下载一些病毒样本,在虚拟机里跑一下,利用监控工具看它的行为。所谓行为,在附件文本里会提到。利用到的工具在附件里也会提到。& & & & & & &病毒分析流程总结& & & & 前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。&&&&&&& 首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。&&&&&&&&&&&&&& 一、在一个已经感染了病毒的机器上如何找到病毒文件?&&&&&&&&&&&&&& 找到病毒才能对其分析,找到病毒文件就是就是分析的第一步,一般来讲,病毒运行必然会创建一个进程,而这个进程就是我们找到他的突破口,一个打开的进程,可以通过任务管理器右键打开文件所在位置来找到其映像文件的地址,这样就能找到病毒文件了&&&&&&&&&&&&&& 但是,现在的病毒越来越精明了,你可能会遇到一个病毒将其自身的进程隐藏了,一般来讲,隐藏进程的方式就是“脱链”,在PEB(进程环境块)中 有三条链表,其中一条链表的指向进程,该链表的每一个元素代表着每一个进程,如果想对某进程隐藏,那么进行“脱链”(即删除聊表中的一项)即可,不要奇怪,脱链操作只是在链表中删除,系统中还是存在该进程的,就好像你用CloseHandle关闭一个进程句柄,但是该进程仍然继续运行一样。对于这样一个隐藏了自己的进程,可以用Rootkit工具,如Xuetr、冰刃等进行查看,当然可能还有一些暴利查进程的工具也是可以查到的。&&&&&&&&&&&&&& 好了,找到了病毒文件,下面可以对其进行分析了,分析病毒一般是要在虚拟机中运行,如果你不怕死,也可以在自己物理机上跑起。。。&&&&&&&&&&&&& 二、如何通过静态基础分析获取一些相关信息?&&&&&&&&&&&&&& 拿到一个程序,先别着急盲目的跑起,我们先获取一些基本的信息,这些东西可能会对你在后面的分析起到很大的作用。&&&&&&&&&&&&&& 首先,我们用PEID查看一些基本信息,如果没有壳,也没有隐藏导入表,那么你运气还不错,快看看导入表吧,一个程序想对你的电脑进行某些操作,那么它必然会调用系统API,而导入表可以告诉我们这个程序调用了哪些API,我们凭借这些导入函数,可以大致猜测一下这个程序作了什么,例如我们看到CopyFile,就可以猜测一些这个程序是不是自我复制了等等。总之,导入表可以告诉我们太多太多的信息,有经验的病毒分析人员基本可以凭借导入表就能确定分析方向了。但是,这些只对没有加壳和没有隐藏导入表,并且是正常调用API的病毒有效,如果加了壳,你可以先尝试脱壳再来查看导入表,更郁闷的是有些黑客为了隐藏调用函数,使用了GetProcAddress配合函数指针来调用API,这样的话,导入表就无法对我们提供有效的帮助了。即便如此,这仍然是病毒分析的第一步。&&&&&&&&&&&&&&& 可以对我们提供有效信息的不是只有导入表,查看字符串也经常会有一些意外收获,这个时候我们可以使用微软提供的控制台工具Strings查看程序的字符串信息,通过查看字符串,可以获取很多提示,比方说看到一个网站我们就可以猜测这是否是一个下载者?看到一个IP我们就可以猜测这是否是一个远程控制软件?当然,查看字符串的前提跟查看导入表一样----没有加壳,否则这些信息很可能被隐藏了,可以考虑脱壳后再来查看。&&&&&&& 三、如何确定病毒究竟干了些什么?&&&&&&&&&&&&&& 这个时候那就需要用到动态基础分析了,别犹豫,上虚拟机,跑起来看看吧,跑之前我们先要打开一些行为监控软件,最常用的是微软提供的Process Monitor,这款软件功能非常强大,可以监控到注册表、文件、进程、模块、网络、用户等等等等信息,用之前先要对其设置一下,按CTRL+L打开过滤对话框,选择名称,然后输入你要分析的病毒的名字,然后添加包含。&&&&&&&&&&&&&& PM监控获取的信息太庞大了,不利于我们观察,我们要对齐进行一些筛选,一般来讲,凡是涉及打开、关闭、查询、枚举等这一类不会对具体内容进行影响的操作我们将其过滤掉,重点观察设置、写入、删除、复制等这些有实际影响的操作,然后可以根据行为来进行分析它究竟干了些什么,当然你也需要时刻关注他的进程树,微软提供的另一款工具Process Explorer可以很好的做到这一点,注意观察,看看该程序是否打开了其他子进程,往往很多病毒并不在自己的进程里做什么,而是生成另一个文件或者建立另一个进程来操作。&&&&&&&& 四、逆向分析&&&&&&&&&&&&&& 对于很多病毒,我们只需要通过上面的操作来确定他干了些什么就可以了,但是有一些情况我们必须对其进行逆向剖析,第一种情况就是感染型病毒,普通的恶意软件,我们可能只是需要知道他们干了些什么就行了,但是对于感染型病毒,我们还应该知道他们具体感染了宿主程序的哪个部分,这样才能对被感染程序进行修复,而这些只有通过逆向分析才能获得。&&&&&&&&&&&&&& 另一种情况就更加的体现了行为分析这种方式的弊端了,那就是有些病毒的恶意行为不是一直都表现出来的,可能需要特殊条件才触发,比如等个一两年,再比如一些特定的条件才触发,这个时候我们也只能通过逆向分析来对其进行剖析。&&&&&&&&&&&&&& 至于逆向分析的方式,有静态的IDA和动态的OD,一般来讲,至于用哪个,那就得结合实际情况了。&&&&&&& 五、脱不掉壳的程序怎么办?&&&&&&&&&&&&&& 脱不掉壳的情况也分好多种,如果是一般的墙壳,虽然脱不掉,仍然可以用OD动态分析,在一些关键的API下断点,看看他传了哪些参数猜测一下做了什么。&&&&&&&&&&&&&& 但是对于vmp这样的虚拟机壳,那就只能进行动态分析草草了事了,如果vmp恰好又是感染型的呢?如何得知他究竟感染了文件的哪个部分?解决的方法就是让他感染一个文件,分析该文件感染前和感染后的区别吧。&&&&&&& 总结:以上这些只是常规的一些分析流程,但是具体分析起来,各种意料不到的情况,曾经面试的时候有人问我,病毒分析师最重要的是什么,我就回答了俩字"感觉",很多时候是靠感觉猜的,当然这个感觉是建立在知识和经验的基础上。另外,在实际的反病毒过程中,经常会碰到反调试和反虚拟机等各种情况,那些都是经验之谈了,这里不再赘述,写到这里也累了,收场吧。。。。& & & & & & & & 病毒分析要掌握的技能【转载】http://bbs.pediy.com/showthread.php?t=199036虽然这里面的技能都比较久远了,但是常识还是要了解的&1._declspec(naked)&告诉编译器不要优化代码对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked),那么系统会自动给添加一些额外的代码,控制堆栈平衡,但是这些额外的代码会破坏被hook函数的堆栈。对于call类型的hook,如果使用_declspec(naked)修饰的话,要注意自己恢复堆栈平衡。#define NAKED __declspec(naked)void NAKED code(void){& & &__asm& & {& & & & ret& & }}使用__declspec(naked)关键字定义函数:1,使用 naked 关键字必须自己构建 EBP 指针 (如果用到了的话);2,必须自己使用 RET 或 RET n 指令返回 (除非你不返回);_delcspec(naked)用在驱动编写,C语言内嵌汇编完成一些特定功能。2.虚拟机检测这里可以看&软件调试&第十八章的内和调试引擎,详细讲述虚拟机调试&3.PE结构必须弄清楚的,包括可能的一些加壳知识&4.注入方式很多病毒的一些行为了,注入方式挺多的&5.反调试技术 反虚拟机检测 花指令解决办法 IDC脚本 网络数据分析 调试方法&6.一定的汇编知识1.mov edi,edi就是两个字节的NOP,与程序中NOP意义相同那为什么用mov edi,edi不用两个NOP呢因为NOP的CPU时钟周期要比用MOV EDI,EDI指令要长,为了提高效率,就采用MOV EDI,EDI防止线程中断导致现场被破坏对齐字节的,凑字节,但是nop效率低,就用mov edi,edi现在编译出来的都是call xxxxxxxxxx 然后jmp [MessageBoxA]1.减少PE模块中重定位的数量2.尽量将模块里的重定位移出代码主代码区,以便进程之间的代码共享2.test eax,eaxtest指令操作是目的操作数和源操作数按位逻辑“与“运算,结果不送回目的操作数然后根据结果设置SF、ZF、和PF标志位,并将CF和OF标志位清零。而JE是当ZF=1时跳转。即,当eax的值等于0时跳转。因此说,这里的test就是检测eax的值是不是0test eax,eax 将eax作与操作,和and一样,只是不改变eax的值test eax,eax cmp eax,2如果eax为0 ZF = 1 作je跳转如果eax为0 ZF = 1 作jz跳转, 不为0 则jnz跳转3.Cmp eax, 2& &如果eax-2=0即eax=2就设置零标志 ZF = 1 JZ跳转4.mov dl,0dh 回车控制符 odh&mov dl,0ah 换行控制符 oah5.or al,al&判断是否为0jz done&or al,20h 使小写字母转化为大写字母6.mov ax,5lea ax,[ax+6]此时ax=11.象这种情况,lea基本上可以看成相加,但要比add速度快&更多的需要自己去积累了&7.SSDT Hook一些函数的Hook,不过现在应该没用了,内核保护的很好的,也很容易被检测&8.调用约定C的调用方式_cdecl(参数从右向左依次入栈) 清理方式:调用者清理对于参数可变化的:printf("XXXXX");void demo_cdecl(int w,int x, int y, int z)asm:push zpush ypush xpush wcall demo(进入了函数,开始执行了。。。。。。)add esp, 16 4*sizeof(int)&标准调用_stdcall&void demo_stdcall(int w,int x, int y, int z)asm:push zpush ypush xpush wcall demo(进入了函数,开始执行了。。。。。。)ret 16快速调用_fastcall 前两个参数将被分配给ECX,EDX 其它按着_stdcall调用方式 ret 8C++调用约定 使用this指针VC提供了 thiscall调用, 将this 传递给ecxgc++中被当做静态变量,存放在栈顶&题目1:写出DLL劫持原理,并写出哪些DLL 不能被劫持Windows操作系统在加载PE文件的时候通过输入表会优先加载程序目录下的DLL,而之后才再系统目录中寻找。伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll、sxs.dll,这些DLL都可被劫持。题目2:内核模式下,允许用什么工具进行调试SoftICE WinDBG(本质是KD) 还有国产的Syserdebugger题目3:写出实模式下寻址方式立即数寻址方式寄存器寻址方式存储器寻址方式题目4:概括讲解下游戏木马与下载器的特征。题目5:GDT 和LDT 分别表示什么Global Descriptor Table全局描述符表Local Descriptor Table本地描述符列表IDT : Interrupt Descriptor Table中断描述符表题目6:详细讲解SSDT与hook SSDT的区别通过ring3与ring0直接的win API 联系起来的一个函数服务描述表例:调用Createthread -& 最后是调用 ntCreatethread 来达到创建线程的目的那么hook ssdt 就是通过ring0下系统钩子的形式在SSDT 函数服务描述表建立拦截函数调用以及创建的一个监视过程进ring0的方法太多,比如常规的中断门,陷阱门,调用门等!这个里面还牵涉内存映射,全局变量共享等概念简单的来说,SSDT 是 正常行为HOOK SSDT 是WS行为。SetwindowshookEx -& CallNextHookEx题目7:HOOK API 与API HOOK 跟什么有关系?题目8:特征码分为几种,特征跟病毒是什么关系?特征码分为两种,内存特征,文件特征1:内存特征:表示在内存中存在病毒的宿主程序,称代码式注入或DLL注入2:文件特征:通过读取某个文件PE信息,或者文件偏移量,取出长达26个十六进制字符存入病毒库现在杀软用的都是Debug 机制,简称:虚拟机查杀&特征就是证明这个是不是病毒,如果是病毒该如何处理。题目9:Hook OpenProcess 会导致什么,冰刃下SSDT红色部分表示什么?题目10:主动防御的包括哪些?HOOK HOOK 再 HOOK 各种病毒行为呗 不知道有什么好问的...改注册表拉,PE感染拉,SYS感染拉 ShellCode识别拉...&&怎么对一个样本进行详细分析,是否进行过详细分析怎么提取的特征码分析过哪个病毒1.如何快速判断一个文件是病毒?&2.病毒和木马有何区别?&3.如何判断一个文件是可执行文件?&答:在IMAGE_DOS_HEADER结构中找出e_lfanew字段的值,然后用该值加上文件基地址以得到的地址为内存地址查看该地 址处的值是否为,也就是ASCII码的“PE00”。&4.jmp和call的区别是什么?&答:jmp直接跳转到目标地址,而call先将下一条指令的地址压栈,然后再跳转到目标地址。call指令相当于push + jmp。&7.什么是shellcode?原理是什么?&Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另 外,Shellcode一般是作为数据发送给受攻击服务的。8.jmp的机器码是多少?&答:jmp的机器码是EB、E9、EA、FF。&9.pe文件结构大体是什么?&10.怎样判断一个文件是exe还是dll?&IMAGE_FILE_HEADER 中的文件属性字段中 普通的EXE文件这个字段值一般是010fh,DLL文件这个字段的值是0210h11.什么是壳?&12.木马分为哪几类?&13.call A&A:pop eax&指令是什么意思 调用 pop eax 语句1、_STDCALL的参数压栈方式,堆栈平衡方式这个比较基础,是从右到左依次压入,CALL内平衡2、C语言里wsprintf参数的压栈方式,为什么这个也比较基础,就是从右到左依次压入,CALL外平衡。为什么,,是因为wsprintf的参数是可变的。3、PE里面物理和文件地址的转换这个也比较基址,我自觉得对PE还算了解,还算熟悉,所以关于va,rva等这个没有问题。4、常见的注入方式Windows Hook、远程线程注入DLL、远程线程注入代码5、如何分析一个数据的方法:我答:通过输出字符串,导出函数或者CE工具,定位内存地址,通过IDA静态分析结合&OD动态调试,很快就可以找到想要的了。病毒分析师需要的技能如下:1、至少要了解病毒的行为一般都有哪些2、病毒行为的详细过程要知道3、一些简单的工具的开发至少要会4、分析工具的使用至少要会5、至少要能写一些辅助病毒分析的工具作为一个病毒分析师需要的是了解病毒的种类,以及他们的行为特征,还需要了解他们变异后的特点,还要了解病毒常用的API,以及各类病毒专用的API,比如纯Ring3的病毒和加载驱动的病毒,它们的不同之处是加载驱动的病毒里面有着特定的行为,使用了一些专门的API,以及注册表操作等等,对于一个病毒分析师,我们需要精确的定位是不是病毒,或者是不是盗号木马,不能单靠API来判定是否为病毒,比如一个程序里面是正常使用OpenFile,但是你一看见使用了这个API,就把它定义为病毒就错误了,对于这种,我们需要写一些工具来判定它的行为特征,比如HOOK病毒调用的API,我们创建一个挂起进程的病毒,我们这时创建远程线程HOOK掉相关的API,把病毒使用的相对危险的API的参数全部记录下来,这样我们就能快速判断一般的普通病毒了,对于那些猛一点的病毒,或者破坏系统的病毒,这时我们就需要在安全的环境下分析病毒了,以免病毒破坏我们的病毒分析环境,比如你在真实机器上分析一些盗号木马,或者盗取银行账号的木马,那就比较危险了,一般我认为的病毒分析的环境是,如果是感染的病毒,我们需要开着还原系统,还原各个磁盘,一般分析比较危险的病毒这样应该足够了,对于那些破坏还原的病毒,我相信一般的病毒分析是不能分析的!我们还需要了解和使用常用的病毒分析工具,比如反汇编工具,和动态调试器,各种监视器,以及反Rootkit工具,一般的分析流程总结如下:1、保护自身机器的安全,也就是还原保护2、监视器开着,3、反汇编工具,动态调试器4、自己的病毒分析辅助工具5、总结病毒的类型6、总结病毒的行为和危害就是需要掌握的技能了,下面的还有一些基本的技能。我们需要写一些辅助工具来帮助我们辅助分析病毒,下面的是Ring3的说明,当然你也可以写Ring0的工具。1、注册表监视器,一些病毒经常注册表来对抗一些杀软或者保护自身,比如映像劫持,还有,我前面发过的注册表控制360的开关。2、文件监视器,一些病毒比如键盘记录这种储存量比较大的东西,就要写入文件了,以及创建文件等等,3、线程监视器,我们需要监视远程线程的创建,何时创建,何时停止,还是不停止4、进程监视器,一些病毒经常创建进程来加载一些DLL,以及启动人家的进程。5、网络监视器,病毒必备的工具,病毒一般得到自己需要的东西后,就发送到自己的机器上,这时我们可以写一些监视工具来辅助抓包分析,抓到的数据包分析等等,以及得到目标的IP地址,好报案等等。&&常用的Win API函数(在这里给出做木马病毒常用到的API)1、限制程序功能函数EnableMenuItem 允许、禁止或变灰指定的菜单条目&EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)2、对话框函数CreateDialog 从资源模板建立一非模态对话窗&CreateDialogParam 从资源模板建立一非模态对话窗&CreateDialogIndirect 从内存模板建立一非模态对话窗&CreateDialogIndirectParam 从内存模板建立一非模态对话窗DialogBox 从资源模板建立一模态对话窗&DialogBoxParam 从资源模板建立一模态对话窗&DialogBoxIndirect 从内存模板建立一模态对话窗&DialogBoxIndirectParam 从内存模板建立一模态对话窗&EndDialog 结束一模态对话窗MessageBox 显示一信息对话框&MessageBoxEx 显示一信息对话框&MessageBoxIndirect 显示一定制信息对话框GetDlgItemInt 得指定输入框整数值&GetDlgItemText 得指定输入框输入字符串&GetDlgItemTextA 得指定输入框输入字符串&Hmemcpy 内存复制 (非应用程序直接调用)3、磁盘处理函数GetDiskFreeSpaceA 获取与一个磁盘的组织有关的信息,以及了解剩余空间的容量&GetDiskFreeSpaceExA 获取与一个磁盘的组织以及剩余空间容量有关的信息&GetDriveTypeA 判断一个磁盘驱动器的类型&GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母&GetFullPathNameA 获取指定文件的详细路径&GetVolumeInformationA 获取与一个磁盘卷有关的信息&GetWindowsDirectoryA 获取Windows目录的完整路径名&GetSystemDirectoryA 取得Windows系统目录(即System目录)的完整路径名4、文件处理函数CreateFileA 打开和创建文件、管道、邮槽、通信服务、设备以及控制台&OpenFile 这个函数能执行大量不同的文件操作&ReadFile 从文件中读出数据&ReadFileEx 与ReadFile相似,只是它只能用于异步读操作,并包含了一个完整的回调&WriteFile 将数据写入一个文件&WriteFileEx 与WriteFile类似,只是它只能用于异步写操作,并包括了一个完整的回调&SetFilePointer 在一个文件中设置当前的读写位置&SetEndOfFile 针对一个打开的文件,将当前文件位置设为文件末尾&CloseHandle 关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等_lcreat 创建一个文件&_lopen 以二进制模式打开指定的文件&_lread 将文件中的数据读入内存缓冲区&_lwrite 将数据从内存缓冲区写入一个文件&_llseek 设置文件中进行读写的当前位置&_lclose 关闭指定的文件&_hread 将文件中的数据读入内存缓冲区&_hwrite 将数据从内存缓冲区写入一个文件OpenFileMappingA 打开一个现成的文件映射对象&CreateFileMappingA 创建一个新的文件映射对象&MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间&MapViewOfFileEx (内容同上)CreateDirectoryA 创建一个新目录&CreateDirectoryExA 创建一个新目录&RemoveDirectoryA 删除指定目录&SetCurrentDirectoryA 设置当前目录MoveFileA 移动文件&DeleteFileA 删除指定文件&CopyFileA 复制文件&CompareFileTime 对比两个文件的时间&SetFileAttributesA 设置文件属性&SetFileTime 设置文件的创建、访问及上次修改时间&FindFirstFileA 根据文件名查找文件&FindNextFileA 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件&FindClose 关闭由FindFirstFile函数创建的一个搜索句柄&SearchPathA 查找指定文件GetBinaryTypeA 判断文件是否可以执行&GetFileAttributesA 判断指定文件的属性&GetFileSize 判断文件长度&GetFileTime 取得指定文件的时间信息&GetFileType 在给出文件句柄的前提下,判断文件类型&5、注册表处理函数RegOpenKeyA 打开一个现有的注册表项&RegOpenKeyExA 打开一个现有的注册表项&RegCreateKeyA 在指定的项下创建或打开一个项&RegCreateKeyExA 在指定项下创建新项的更复杂的方式&RegDeleteKeyA 删除现有项下方一个指定的子项&RegDeleteValueA 删除指定项下方的一个值&RegQueryValueA 获取一个项的设置值&RegQueryValueExA 获取一个项的设置值&RegSetValueA 设置指定项或子项的值&RegSetValueExA 设置指定项的值&RegCloseKey 关闭系统注册表中的一个项(或键)&6、时间处理函数CompareFileTime 比较两文件时间&GetFileTime 得文件建立,最后访问,修改时间&GetLocalTime 得当前本地时间&GetSystemTime 得当前系统时间&GetTickCount 得windows启动至现时毫秒&SetFileTime 设置文件时间&SetLocalTime 设置本地时间&SetSystemTime 设置系统时间7、进程函数CreateProcessA 创建一个新进程&ExitProcess 以干净的方式关闭一个进程&FindExecutableA 查找与一个指定文件关联在一起的程序的文件名&FreeLibray 释放指定的动态链库&GetCurrentProcess 获取当前进程的一个伪句柄&GetCurrentProcessId 获取当前进程一个唯一的标识符&GetCurrentThread 获取当前线程的一个伪句柄&GetExitCodeProces 获取一个已结束进程的退出代码&GetExitCodeThread 获取一个已结束线程的退出代码&GetModuleHandleA 获取一个应用程序或动态链接库的模块句柄&GetPriorityClassA 获取特定进程的优先级别LoadLibraryA 载入指定的动态链接库,并将它映射到当前进程使用的地址空间&LoadLibraryExA 装载指定的动态链接库,并为当前进程把它映射到地址空间&LoadModule 载入一个windows应用程序,并在指定的环境中运行TerminateProcess 结束一个进程1.通过FindWindow读取窗体的句柄2.通过GetWindowThreadProcessId读取查找窗体句柄进程的PID值varnProcId:DWnProcId:=GetWindowThreadProcessId(hFound, @nProcId);3.用OpenProcess(PROCESS_QUERY_INFORMATION Or&PROCESS_VM_OPERATION Or PROCESS_VM_READ Or&PROCESS_VM_WRITE, 0, ProcessId)打开查到PID值的进程. 此打开具备读取,写入,查询的权限4.ReadProcessMemory读出指定的内存地址数据BOOL ReadProcessMemory(HANDLE hProcess, // 被读取进程的句柄;LPCVOID lpBaseAddress, // 读的起始地址;LPVOID lpBuffer, // 存放读取数据缓冲区;DWORD nSize, // 一次读取的字节数;LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
馆藏&109833
TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&
喜欢该文的人也喜欢
