主页 > 网络知识 > 攻防战中的绝密武器(3)

攻防战中的绝密武器(3)

通过 virustotal 信息可以看到,国内所有杀软对此shellcode 文件都无检

测:

shellcode 通过读取 peb 中 dll 中的 IAT 地址来实现函数调用:

并且不通过函数名字而通过函数名字 hash 值得的方法来获得函数地址,以避免 函数字符串被轻易发现:

使用工具 jmp2it.exe调试 shellcode

通过动态调试获取shellcode 调用的函数名字:

经过分析,得出此shellcode 功能如下:

9、端口扫描工具autoGetv2.exe

autoGetv2.exe是一款基于Python脚本的端口扫描工具。

逆向发现pe文件中有pyinstaller的字符串

使用pyinstxtractor.py解包得到如下文件:

添加pyc文件头:

再使用easypython decompiler从pyc(pyo)文件得到py文件:

通过日志查询发现攻击者使用了如下的命令:

查杀情况如下:

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!

您可能还会对这些文章感兴趣!