HW样本《关于“XXXX”微信视频号发布短视频的信息说明.exe》的逆向分析

一、概述

样本运行后会释放《关于“XXXX”微信视频号发布短视频的信息说明.doc》并打开;同时释放ncloud.exe恶意文件并启动;调用cmd命令删除样本母体;其中ncloud.exe会从互联网下载类似字母表的数据解密出CS木马,在内存加载并运行。母体样本进程树如下图所示:

二、ncloud.exe样本分析

使用数字签名伪装成金山的云服务程序

 从https://iciba.ks3-cn-beijing.ksyuncs.com/wordlist/Unit1/class1.txt下载字母表,内容如下图所示:

使用ConvertThreadToFiber( )、CreateFiber( )、SwitchToFiber( )函数转入CS木马的加载代码,如下图所示:

申请内存解密出CS木马,并从入口点开始运行,如下图所示:

解密出的CS配置文件如下:

三、IOC:

40EF0DEEC0F87B5ABFB6ED3EAA24671C062AE71CA4E9CE61BF97C6C84080FD8C
0DF8C535DA8B2144F0EC1F0AC6DD8A05C42AA5365895B0E6BA6D3177401B1B3D
https[:]//iciba.ks3-cn-beijing.ksyuncs.com/wordlist/Unit1/class1.txt
https[:]//43.141.49.92/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//42.236.89.185/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//124.225.118.214/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//27.185.233.62/v11/wps/update/wpsoffice.11.1.0.15120.v1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/35723.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《玩转Python数据分析专栏》大纲

《玩转Python数据分析专栏》大纲

欢迎来到《玩转Python数据分析分类专栏》!在这个专栏中,我们将带您深入探索数据分析的世界,以Python为工具,解析各个领域的实际应用场景。通过100篇教程,我们将逐步引领您从入门级到高级,从基础知识到实战技…
阅读更多...
前端安全:探秘安全 HTTP 头的设置

前端安全:探秘安全 HTTP 头的设置

在当今数字化时代,前端安全至关重要。除了应对常见的攻击方式外,通过设置安全 HTTP 头,我们可以加强网站的安全性,减少潜在的威胁。本文将为您详细解释什么是安全 HTTP 头,以及如何通过设置它们来保护您的前端应用。 1…
阅读更多...
真就逮住23届了使劲薅呗,24届笑了

真就逮住23届了使劲薅呗,24届笑了

作者:阿秀 InterviewGuide大厂面试真题网站:https://top.interviewguide.cn 小伙伴们大家好,我是阿秀。 最近在朋友圈看到不少动态说"24届明显好转"的消息,也收到不少私信问是不是24届的相比于23届好多了,更…
阅读更多...
深度学习阶段性回顾

深度学习阶段性回顾

本文针对过去两周的深度学习理论做阶段性回顾,学习资料来自吴恩达老师的2021版deeplearning.ai课程,内容涵盖深度神经网络改善一直到ML策略的章节。视频链接如下:吴恩达深度学习视频链接 (注:本文出自深度学习初学者&a…
阅读更多...
Vue中如何更好地封装组件?

Vue中如何更好地封装组件?

子组件接受父组件传递的事件 1.子组件使用事件名"$emit(父组件中传递的事件名,想给父组件传递的参数(可选))" click"$emit(click)" 2.子组件使用 v-on"$listeners" 父组件&#xff1a; <template><div id"app"><myCo…
阅读更多...
MyBatis的XML映射文件

MyBatis的XML映射文件

Mybatis的开发有两种方式&#xff1a; 注解 XML配置文件 通过XML配置文件的形式来配置SQL语句&#xff0c;这份儿XML配置文件在MyBatis当中也称为XML映射文件。 导学&#xff1a;在MyBatis当中如何来定义一份儿XML映射文件&#xff1f; 在MyBatis当中&#xff0c;定义XML…
阅读更多...
使用 HTML、CSS 和 JavaScript 创建多步骤表单

使用 HTML、CSS 和 JavaScript 创建多步骤表单

使用 HTML、CSS 和 JavaScript 创建多步骤表单 为了处理又长又复杂的表单&#xff0c;我们需要将它们分成多个步骤。通过一次只在屏幕上显示一些输入&#xff0c;表单会感觉更容易理解&#xff0c;并防止用户感到被大量的表单字段淹没。 在本文中&#xff0c;我将逐步指导如何…
阅读更多...
有哪些可能引起前端安全的问题?

有哪些可能引起前端安全的问题?

跨站脚本 (Cross-Site Scripting, XSS) ⼀种代码注⼊⽅式,为了与 CSS 区分所以被称作 XSS。早期常⻅于⽹络论坛, 起因是⽹站没有对⽤户的输⼊进⾏严格的限制, 使得攻击者可以将脚本上传到帖⼦让其他⼈浏览到有恶意脚本的⻚⾯, 其注⼊⽅式很简单包括但不限于 JavaScript / CSS …
阅读更多...
基础堆排序(Java 实例代码)

基础堆排序(Java 实例代码)

目录 基础堆排序 一、概念及其介绍 二、适用说明 三、过程图示 四、Java 实例代码 src/runoob/heap/Heapify.java 文件代码&#xff1a; 基础堆排序 一、概念及其介绍 堆排序&#xff08;Heapsort&#xff09;是指利用堆这种数据结构所设计的一种排序算法。 堆是一个近…
阅读更多...
Linux_5_Shell脚本编程

Linux_5_Shell脚本编程

目录 1 基础1.1 程序组成1.2 程序编程风格1.3 编程语言1.4 编程逻辑处理方式 2 shell 脚本语言的基本结构2.1 shell脚本的用途2.2 shell脚本基本结构2.3 创建shell脚本过程2.4 脚本注释规范2.5 第一个脚本2.6 脚本调试2.7 变量2.7.1 变量2.7.2 变量类型2.7.3 编程语言分类2.7.4…
阅读更多...
【MAC】 M2 brew安装 docker 运行失败 解决

【MAC】 M2 brew安装 docker 运行失败 解决

MAC 安装 brew install --cask docker 之后一直显示docker: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?. 网上看了一些文章 发现 这个不适用于M2 所以要从官网上下载 docker 安装成功
阅读更多...
C++ 动态规划经典案例解析之最长公共子序列(LCS)_窥探递归和动态规划的一致性

C++ 动态规划经典案例解析之最长公共子序列(LCS)_窥探递归和动态规划的一致性

1. 前言 动态规划处理字符相关案例中&#xff0c;求最长公共子序列以及求最短编辑距离&#xff0c;算是经典中的经典案例。 讲解此类问题的算法在网上一抓应用一大把&#xff0c;即便如此&#xff0c;还是忍不住有写此文的想法。毕竟理解、看懂都不算是真正掌握&#xff0c;唯…
阅读更多...
多线程与并发编程面试题总结

多线程与并发编程面试题总结

多线程与并发编程 多线程 线程和进程的区别&#xff1f; 从操作系统层面上来讲&#xff1a;进程(process)在计算机里有单独的地址空间&#xff0c;而线程只有单独的堆栈和局部内存空间&#xff0c;线程之间是共享地址空间的&#xff0c;正是由于这个特性&#xff0c;对于同…
阅读更多...
Vim入门教程vimtutor1.7总结

Vim入门教程vimtutor1.7总结

vimtutor命令可以打开教程文档 原文特别提示 ⬇⬇⬇ 特别提示&#xff1a;切记您要在使用中学习&#xff0c;而不是在记忆中学习 Vim模式 正常模式&#xff08;Normal Mode&#xff09;&#xff1a;默认模式&#xff0c;可以使用基础命令进行操作命令模式&#xff08;Command…
阅读更多...
阿里云国际版云服务器防火墙怎么设置呢?

阿里云国际版云服务器防火墙怎么设置呢?

入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。本文介绍了入侵防御页面展示的信息和相关操作&#xff0c;下面和012一起来了解阿里云国际版云服务器防火墙设置&#xff1a; 前提条件 您需要先在防护配置页面&#xff0c;开…
阅读更多...
vscode debug python 带参数

vscode debug python 带参数

两种方法 第一种&#xff1a; 1&#xff0c;侧边栏选择运行和调试 2&#xff0c;请先创建一个launch.json文件 3&#xff0c;并选择配置文件为python文件 此时你的工作目录下会多一个目录.vscode和该目录下一个launch.json文件&#xff0c;该文件则配置了你的debug配置。在…
阅读更多...
【报错】ModuleNotFoundError: No module named ‘websocket‘

【报错】ModuleNotFoundError: No module named ‘websocket‘

1 报错 ModuleNotFoundError: No module named websocket 2 解决方法 pip install websocket 1 报错 AttributeError: module websocket has no attribute enableTrace 2 分析 一般是由于websocket的依赖包没有安装造成的。websocket.enableTrace()方法是在websocket-cli…
阅读更多...
C语言第十课----------------扫雷----------数组的经典练手题

C语言第十课----------------扫雷----------数组的经典练手题

作者前言 &#x1f382; ✨✨✨✨✨✨&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f367;&#x1f382; &#x1f382; 作者介绍&#xff1a; &#x1f382;&#x1f382; &#x1f382;…
阅读更多...
React构建的JS优化思路

React构建的JS优化思路

背景 之前个人博客搭建时&#xff0c;发现页面加载要5s才能完成并显示 问题 React生成的JS有1.4M&#xff0c;对于个人博客服务器的带宽来说&#xff0c;压力较大&#xff0c;因此耗费了5S的时间 优化思路 解决React生成的JS大小&#xff0c;因为我用的是react-router-dom…
阅读更多...
ORA-01034: ORACLE not available、ORA-27101: shared memory realm does not exist

ORA-01034: ORACLE not available、ORA-27101: shared memory realm does not exist

发生缘由 学习 Oracle 的使用&#xff0c;结果关机之后重新使用 SQLPlus 发现无法登录 -- windows server 2003 使用 sqlplus连接oracle报错 C:\Documents and Settings\Adminstrator> sqlplus system/linxuan ORA-01034:ORACLE not available ORA-27101:shared memory r…
阅读更多...
最新文章

Copyright @ 2022~2023