社区
网络编程
帖子详情
一个小木马,已手动能实现程序,自动化过程有点问题?
wym_2007
2008-10-23 09:23:48
本人做信息安全,现有个小马,发现为xxx.exe格式,双击显示图片;实际在双击过程中它自动在windows下建立一个隐藏文件,然后把真正的exe放在改文件下,并且进程中多出spoolsv.exe,手动可以找到改exe路径
问题:如何通过xxx.exe,找到真正的exe呢?createProcess能否实现呢? 有时一个木马隐藏更加深,比如通过3个以上中间文件隐蔽自己,我觉得两个实现,写递归就可以? 请高人指点?
...全文
124
8
打赏
收藏
一个小木马,已手动能实现程序,自动化过程有点问题?
本人做信息安全,现有个小马,发现为xxx.exe格式,双击显示图片;实际在双击过程中它自动在windows下建立一个隐藏文件,然后把真正的exe放在改文件下,并且进程中多出spoolsv.exe,手动可以找到改exe路径 问题:如何通过xxx.exe,找到真正的exe呢?createProcess能否实现呢? 有时一个木马隐藏更加深,比如通过3个以上中间文件隐蔽自己,我觉得两个实现,写递归就可以? 请高人指点?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
8 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
wym_2007
2008-10-24
打赏
举报
回复
没有理解我意思呀 算了也不表达了 自己解决了~!
WinEggDrop
2008-10-23
打赏
举报
回复
[Quote=引用楼主 wym_2007 的帖子:]
本人做信息安全,现有个小马,发现为xxx.exe格式,双击显示图片;实际在双击过程中它自动在windows下建立一个隐藏文件,然后把真正的exe放在改文件下,并且进程中多出spoolsv.exe,手动可以找到改exe路径
问题:如何通过xxx.exe,找到真正的exe呢?createProcess能否实现呢? 有时一个木马隐藏更加深,比如通过3个以上中间文件隐蔽自己,我觉得两个实现,写递归就可以? 请高人指点?
[/Quote]
ReadDirectoryChangesW()监视windows下目录和子目录,监视所有新建文件项(文件修改,文件删除等操作不做监视).够简单方便了吧.
wym_2007
2008-10-23
打赏
举报
回复
xxx.exe是双击后只能看到显示图片,我看到的spoolv.exe是通过一些网络工具才找到的
现在目的是如何自动的获得spoolv.exe? 我已经hook xxx.exe的,现在目的是hook spoolv.exe。
野男孩
2008-10-23
打赏
举报
回复
嗯,hook NtCreateProcess也行吧
不过都有xxx.exe了,分析一下xxx.exe生成spoolv.exe文件的那部分代码不就行了吗。
nooning
2008-10-23
打赏
举报
回复
进程没有递归,只要继承
你可以HOOK住一些创建进程的函数,ntcreatesection 比较合适
然后你就可以在新进程时把自己加载进去,每一步都写日志你就知道是谁开了谁
wym_2007
2008-10-23
打赏
举报
回复
up!!!!
wym_2007
2008-10-23
打赏
举报
回复
filemon不熟悉,好像有源码,我去学习学习;但是还是希望有高人来,提点vc实现的思路,谢谢
jacklzw88
2008-10-23
打赏
举报
回复
filemon
微信小
程序
--旋转
木马
/缩放轮播图效果
话不多说先上图.gif (此图片来源于网络,如有侵权,请联系删除! ) 文章涉及技术点 微信小
程序
原生Swiper控件 Wxss Transform、Transition 轮播条滚动回调控制 微信小
程序
条件渲染、列表渲染 全部
实现
代码加起来也就三四十行,大部分还用来写wxml UI代码,所以功能
实现
起来非常简单。 首先将
问题
简单化,能用原生组件
实现
出我们想要的效果,绝不自己开发Component。原因:我懒+我自己写的也不敢说性能堪比原生组件 先来分析一波gif中我们需要
实现
效果和哪些效果可以直接修改原生Swiper的属性就能
实现
的 我们需要自己
实现
的功能 自动滚动+
手动
拖拽 (原生
RamCleaner v6.5
RamCleaner 是一款小巧、美观、实用的内存优化整理软件。通过 Windows 化的图表显示,您可以一目了然地了解计算机当前状态下内存、CPU 和页面文件的使用情况。在内存不足时,您可以
手动
或自动让 RamCleaner 释放空闲内存,加快计算机的运行速度。除此以外,您也可以方便地管理进程,强制终止
程序
运行或者调整它们的优先权,最大限度发挥计算机的潜能。对于先天不足的 Win9X 系统,进程管理器能协助您降低死机的可能性并发现潜在的病毒、
木马
和恶意
程序
。利用该
程序
,您还可以了解到您计算机 CPU 的详细信息,包括制造商、系列、型号、步进、类型以及是否支持 MMX、3DNow! 等。如果您不知道如何设置软件释放内存,则可以让 RamCleaner 自动最优化设置,保证计算机不至于因内存不足资源耗尽而死机
网络安全工程师教你:Kali Linux与Msfvenom
木马
攻防入门
一、课程简介:1、Metasploit-framework旗下的msfpayload(荷载生成器)、msfencoder(编码器)、msfcli(监听接口)已然成为历史,取而代之的是msfvenom。2、正所谓万变不离其宗,了解原理是最重要的。现在,metasploit-framework完美搭档是msfvenom+msfcosole本节课就开始带你入门和学习Msfvenom
木马
生成知识。二、常见
问题
:问:英语和数学基础一般,能学会吗?答:这门课程专为小白设计,英语和数学基础一般没有关系,老师会一步步带领大家从基础学起,由浅入深,您可放心学习,预祝您学习愉快!
RamCleaner 7.00英文绿色版
RamCleaner 是一款小巧、美观、实用的内存优化整理软件。通过 Windows 化的图表显示,您可以一目了然地了解计算机当前状态下内存、CPU 和页面文件的使用情况。在内存不足时,您可以
手动
或自动让 RamCleaner 释放空闲内存,加快计算机的运行速度。除此以外,您也可以方便地管理进程,强制终止
程序
运行或者调整它们的优先权,最大限度发挥计算机的潜能。对于先天不足的 Win9X 系统,进程管理器能协助您降低死机的可能性并发现潜在的病毒、
木马
和恶意
程序
。利用该
程序
,您还可以了解到您计算机 CPU 的详细信息,包括制造商、系列、型号、步进、类型以及是否支持 MMX、3DNow! 等。如果您不知道如何设置软件释放内存,则可以让 RamCleaner 自动最优化设置,保证计算机不至于因内存不足资源耗尽而死机
无赖小子Wayv2.4(远程控制)源代码
该软件是游戏软件,主要用于捉弄人 1、远程文件操作:包括创建、上传、下载、复制、删除文件或目录、打开文件(提供了四中不同的打开方式??正常方式、最大化、最小化和隐藏方式)等多项文件操作功能; 2、远程关机、重启、睡眠,拨号控制,光驱控制,注册表锁定,鼠标锁定,键盘锁定,对桌面图标、任务栏等锁定和隐藏等系统控制; 3、更改系统墙纸、分辨率、颜色、主机名、创建网络共享等系统配置功能; 4、获取计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 5、对按键监视、剪切板监视、文件操作监视、任务监视和终止以及直接的屏幕监视和控制; 6、口令获取:上网密码,用户登陆密码,以星星出现过的密码,以及“Password”,“密码”,“登陆”,“口令”,“连接”,“帐号”,“用户”,“login”,“account”,“connect”等敏感字符进行获取,内存和CPU利用率也并不高。 7、短信息发送:以四种常用图标向被控端发送简短信息; 8、点对点聊天:与被控端进行点对点聊天交谈; 9、骷髅、地震、乱屏等耍人操作; 10、命令提示符操作:对DIR、NET VIEW等什么的Command命令操作; 11、注册表操作:主键的浏览、增删、重命名和对键值的读写等所有注册表操作功能; 12、EXE处理器:帮你的
木马
瞒天过海,帮你的EXE文件进行捆绑,加密,更换图标; 13、服务断配置:可更改端口、密码IP通知采用Email通知和客户端内置服务器侍待两种通知方式,Email通知将你的动态IP和密码星星等发走,采用静态IP通知5分钟刷新一次; 14、增加系统安全性,用户需要密码才能访问,可自动卸载,重新加载 15、新版单一采用TCP/IP协议传输,没用到UDP协议,消除了服务端在Win2k/NT下的不稳定情况 一些
问题
: 1、自动搜索:计算机自动扫描指定端口下的IP,该服务器
程序
指定端口为8011,又分高级搜索和低级搜索 2、低级搜索:在指定C类子网下扫描IP,用时短,显示中
木马
的计算机 3、高级搜索:穷举所有IP,用时长,显示中
木马
的计算机 4、因为要等待对方响应,根据你搜索的网大小定致延时 5、退出会终止搜索并把列表中的IP地址列在IP列表中,未保存 6、屏幕跟踪时,按键盘、鼠标相当对方按键盘鼠标,完全模拟,采用了JPEG图象传输适合Internet传输 7、IP列表中,读入记录可把保存的IP列举出来 8、IP列表中,保存记录可把列表中的IP保存进文件 9、IP列表中,清空记录删除文件记录 10、IP列表中,删除记录可在文件中删除该条记录 11、IP列表中,双击列表可自动把IP列入连接IP上 12、如用新建文件夹、复制、粘贴等,可能有影射错误,可用文件自动刷新,注册表同理,建议
手动
刷新 13、更换计算机名字要下次重启才有效 14、文件管理器中注意底下的当前目录可能和你左边的目录树不同,这没有错,因为数据未接收完时你按键 太多了 15、对键值的新建或删除不会自动刷新,请重新展开根键 16、 更换墙纸 命令无效,这个
问题
的可能性太多了,较常见的原因是被监控端的桌面设置为 按WEB页查看 17、二进制修改支持到0x200的偏移量修改 18、IP通知,分Email通知(动态IP适用)和内置IP服务侍待器(局域网适用),不需要Email通知请清空SMTP和Email 19、更改了配置采用重载服务断后立即有效 20、由于采用防DES复杂加密技术,EXE加密器如果采用随机码加密则运行解密时会慢点 21、加密后的
程序
只不过是来帮
木马
、病毒之类的瞒天过海,运行后当然会原形毕露,也只能做到这一步 22、所以要先配置服务端后再进行EXE捆绑才有效 23、配置服务断
程序
端口请用1024-65535之间的端口,以免冲突 24、由于2.1之后版本的内核和方法都完全改了,支持对2.1后的版本在线升级服务
网络编程
18,356
社区成员
64,217
社区内容
发帖
与我相关
我的任务
网络编程
VC/MFC 网络编程
复制链接
扫一扫
分享
社区描述
VC/MFC 网络编程
c++
c语言
开发语言
技术论坛(原bbs)
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章