cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > DDoS防御 > 本文内容

cdn高防护_如何_防御cdn低价

发布时间:2021-04-09 10:05源自:51首防安全作者:51首防安全阅读()

cdn高防护_如何_防御cdn低价

Citadel特洛伊木马并不是什么新鲜事,但我最近从我们的收集系统中找到了一个,并很开心地打开了它。我想我可以分享一些笔记给那些想为自己的学习目的而研究特洛伊木马的研究人员。Citadel分享了很多宙斯的源代码。事实上,大多数AV引擎在扫描时都会将恶意软件检测为宙斯。AhnLab在2012年底发布了一篇关于该木马的不错的分析报告,带ddos防御的国外服务器,对该木马及其功能进行了全面分析。当你第一次看到特洛伊木马时,很容易看出代码是模糊的。与许多恶意软件一样,特洛伊木马程序将解码库和函数使用的字符串,并使用运行时链接解决它们。(点击放大)我在上图中标记为"callFunction"的过程将分配内存,用于放置窗口过程的代码。window过程中的代码将调用使用运行时链接解析的函数,并使用CallWindowProc进行访问。window过程的内存被反复重写,每次调用CallWindowProc时都会引用一个新函数。请注意,在GetModuleFileName之后调用CreateFile时,内存地址是如何相同的。最后,使用此窗口过程重写方法创建特洛伊木马程序的挂起子进程。通过使用NtUnmapViewOfSection,包含原始PE的内存段将从子进程中的内存中取消映射,然后调用VirtualAllocEx将映射一个新的段,该段将驻留未打包的PE。与往常一样,解包后的代码使用WriteProcessMemory注入到新重新映射的内存中。内存将写入子进程中未打包PE的虚拟基地址,即0x400000。因为我想知道未打包的PE从何处开始执行,cc防御最好用的软件,所以需要找到它的原始入口点(OEP)。它位于PE报头中的IMAGE_OPTIONAL_头结构(AddressOfEntryPoint)。字节以相反的顺序读取(Little-Endian),因此OEP的偏移量为0x2B055。此对WriteProcessMemory的调用仅写入0x400字节,cc攻击后怎么防御,下一次调用将写入从虚拟地址0x401000开始的代码。在将这些0x34000(212992)字节的内存写入子进程之前,我们首先需要在父进程的内存中找到未打包PE的OEP。我们需要这样做,以便在将断点写入子进程之前在那里放置一个断点。为了找到OEP,我们需要做一些数学运算,因为在子进程中有一个0xC00字节的空间。请允许我解释一下。对子进程的第一次写入从0x400000开始,长度为0x400字节,这意味着它在子进程虚拟地址空间中的0x400400结束。第二次写入从0x401000开始,长度为0x34000字节。如果我们减去这两个值,我们就可以看到两次写入之间有多少内存是零填充的。0x4010004000x400–400像素0xC00字节差但是,在父进程中观察未打包的PE时,内存中的前0x400字节与下一个0x34000字节相邻,因此这里没有字节差异。因此,网页cc防御功能破解版,为了在母工艺中找到未包装聚乙烯的OEP,我们使用以下等式。第一次写入起始地址+入口点偏移量–0xC00=未打包的二进制OEP。0x4E8928+0x2B055–0xC00=0x512D7D要创建断点,请将JMP操作码(0xE9)更改为INT3断点(0xCC)的操作码。现在我们可以继续将这些字节写入子进程内存。之后,我们需要选择一个即时(JIT)调试器,我使用idapro。一旦在父进程中调用ResumeThread,我们就可以开始分析子进程中解包的程序了。你可能会注意到的第一件事是关于谁是真正的恶意软件作者的信息(当然是个笑话,请看这里)。如果你是一个研究人员,你想自己分析这个文件,cf高防cdn,下面是详细信息。文件名:~tmp8882937138333177377.tmpmd5:5d72b63b3a3aa83bf6b07b9b8204c634如有任何问题,请使用下面的评论。_________________________________________________________________Joshua Cannell是Malwarebytes的恶意软件情报分析师,他在那里进行研究和恶意软件分析。推特:@joshcannell

欢迎分享转载→ cdn高防护_如何_防御cdn低价

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -