Virut样本取证特征

1、网络特征

ant.trenz.pl ilo.brenz.pl

2、文件特征

通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。

549050-20180509010941749-1898036902.png

3、受感染特征

参考:

【病毒分析】Virut.ce-感染型病毒分析报告

http://www.cnblogs.com/17bdw/p/7776877.html

4、证明正常进程空间里含有恶意代码

549050-20180509011441251-1810200479.png

549050-20180509011446952-1800020573.png

把受感染进程的内存dump出来,通过微软工具String将内存里的字符串打印出来,搜索IOC域名字符串就可以看到网络特征里的域名了。注:图中604这个PID号对应受感染后的Winlogon进程。

尝试把Winlogon的DLL全都dump出来,依次用Strings打印出来。就可以定位到哪个DLL里有被注入的ShellCode了

转载于:https://www.cnblogs.com/17bdw/p/9011964.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/414082.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

IDEA启动项目报错:Error:(1, 1) java: 非法字符: '\ufeff'

1. 报错信息 IDEA导入支付宝支付测试Demo启动报错,报错信息如下: Error:(1, 1) java: 非法字符: \ufeff Error:(1, 10) java: 需要class, interface或enum经测试,MyEclipse并没有报同样的错误信息。 2. 解决方法 在IDEA右下角将编码改为GBK&a…

[js] 请使用js实现一个秒表计时器的程序

[js] 请使用js实现一个秒表计时器的程序 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><meta http-equiv&quo…

IDEA中导入支付宝电脑网站支付测试Demo遇到的错误

前言 官方推荐Demo的运行环境为Eclipse&#xff0c;本次主要针对IDEA中导入遇到的一些问题 本地环境&#xff1a;IDEA Tomcat8.5 1、错误一 Error:(1, 1) java: 非法字符: \ufeff Error:(1, 10) java: 需要class, interface或enum请参考这篇文章&#xff1a;https://www.cnblo…

表格

表格划分三部分&#xff1a;表头&#xff0c;主体&#xff0c;教主 thead&#xff1a;表格的头&#xff08;放标题之类的内容&#xff09; tbody&#xff1a;表格的主体&#xff08;放数据主体&#xff09; tfoot&#xff1a;表格的脚&#xff08;放表格的脚注&#xff09; 转载…

[js] 请使用js实现商品的自由组合,并说说你的思路

[js] 请使用js实现商品的自由组合&#xff0c;并说说你的思路 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><…

maven打包:找不到符号 符号: 方法 getXxx()

先交代一下我这边的情况&#xff0c;如若跟你想要的结果不符&#xff0c;勿喷。 聚合项目 使用过 mvn install 指令 聚合项目&#xff0c;主模块 A 需要打 war 包&#xff0c;其他模块 BCD 需要打为 jar 包作为其依赖。 先看一下报错截图&#xff1a; 这次的问题主要在于之前在…

DHCP的4步租约过程

请尊重原作者 &#xff1a;http://blog.51cto.com/yuanbin/109574 DHCP租约过程就是DHCP客户机动态获取IP地址的过程。 DHCP租约过程分为4步&#xff1a; ①客户机请求IP&#xff08;客户机发DHCPDISCOVER广播包&#xff09;&#xff1b; ②服务器响应&#xff08;服务器发DHCP…

支付宝支付-支付宝PC端扫码支付

前言 支付宝支付—沙箱环境使用支付宝支付-支付宝PC端扫码支付「本文」支付宝支付-手机浏览器H5支付「待写」 PC端扫码支付&#xff0c;其实就是就是 电脑网站支付&#xff0c;本文基于支付宝沙箱环境&#xff0c;不了解的可以看一下上边的链接。 废话不多说&#xff0c;直接进…

支付宝支付-手机浏览器H5支付

前言 支付宝支付—沙箱环境使用支付宝支付-支付宝PC端扫码支付支付宝支付-手机浏览器H5支付「本文」 手机浏览器支付&#xff0c;用户在安装支付宝APP的情况下&#xff0c;调用手机网站支付接口默认会唤起支付宝钱包支付&#xff0c;接下来通过运行官方Demo进行测试。 本文开发…

uniapp添加网站favicon文件

前言 uniapp 默认创建的项目并没有给我们提供加上网站 favicon 的 ”机会”&#xff0c;但其实官方已经给出解决方法了&#xff0c;使用的是 自定义模板 自定义模板的场景&#xff0c;通常有以下几种情况&#xff1a; 调整界面 head 中的 meta 配置补充 SEO 相关的一些配置「仅…

微信支付—微信H5支付「非微信内部浏览器-QQ/UC浏览器等」

前言 微信支付-微信H5外部浏览器支付「本文」微信H5内部浏览器支付「待写」PC端扫码支付「待写」 一直计划着写一写微信支付相关的文章&#xff0c;希望能加深一下自己的印象&#xff0c;拖了一天又一天… 最近终于空出时间来填坑了&#xff0c;我将文章分为微信H5外部浏览器支…

[js] 如何避免JS浮点运算的精度问题(例:0.1+0.7=0.7999999999999999)

[js] 如何避免JS浮点运算的精度问题&#xff08;例&#xff1a;0.10.70.7999999999999999&#xff09; function precision(num1,num2){num1Length num1.toString().length;num2Length num2.toString().length;let len num1Length > num2Length ? num1Length : num2Len…

多线程小结(1)

原文出处 定义就不多说了&#xff0c;直接上代码 1 /// <summary> 2 /// 单线程应用 3 /// </summary> 4 class Program 5 { 6 static void Main(string[] args) 7 { 8 Console.WriteLine("进入主线程"); 9 …

uniapp中使用微信jssdk

在做自定义分享时&#xff0c;用到了微信jssdk&#xff0c;记录一下。 声明&#xff1a;本文演示uniapp中使用jssdk&#xff0c;示例为网页自定义分享 npm方式使用下方指令进行安装&#xff0c;正文部分为非npm方式。 npm install jweixin-module --save 1、下载导入jssdk文件…

微信支付—微信H5支付「微信内部浏览器」

前言 微信支付-微信H5外部浏览器支付微信支付-微信H5内部浏览器支付「本文」微信支付-PC端扫码支付「待写」 本篇是微信支付系列的第二篇、微信H5内部浏览器支付&#xff0c;关于微信H5外部浏览器唤起微信APP支付&#xff0c;请参考上一篇文章。 开发环境&#xff1a;Java Spr…

微信支付—微信H5支付「PC端扫码支付」

前言 微信支付-微信H5外部浏览器支付微信支付-微信H5内部浏览器支付微信支付-PC端扫码支付「本文」 本篇是微信支付系列的第三篇&#xff0c;PC端扫码支付。 开发环境&#xff1a;Java SpringBoot Vue WxJava(开源SDK) 流程补充&#xff1a;关于微信PC端扫码支付&#xff0c;…

前后端分离项目,后端是如何处理前端传递的token?

前后端分离项目中&#xff0c;在不使用 SpringSecurity、Shiro 安全框架的情况下&#xff0c;后端是如何处理前段传递的 token 的呢&#xff1f; 简单说一个场景&#xff0c;在一个非常小的项目中&#xff0c;由于业务逻辑比较简单&#xff0c;也没有啥安全要求&#xff0c;所以…

面试必备:多线程学习(一)

这是2020年“水”的第23篇文章 面试中&#xff0c;多线程并发问题基本上是必问的&#xff0c;所以&#xff0c;不背上个线程相关的问题&#xff0c;都不好意思出去面试了。 一提到多线程&#xff0c;相信大部分小伙伴首先想到的一定是 Synchronize、Lock&#xff0c;再就是vola…

MacOS中Nginx的安装「借助Homebrew」

本文Nginx的安装借助于Homebrew&#xff1b; 1、Homebrew2、Nginx安装 1、Homebrew 如果你已经安装过Homebrew了&#xff0c;那么你可以跳过这一步&#xff0c;直接进行Nginx安装步骤&#xff1b; Homebrew是一款MacOS平台下的软件包管理工具&#xff0c;拥有安装、卸载、更新、…

快速下载||AnotherRedisDesktopManagerMedis-Redis可视化工具

尽管是在Gitee上下载这款软件&#xff0c;网速仍然是非常的慢&#xff0c;不知道是不是我的网络问题。 提供一份我的下载链接 MacOS&#xff1a;Another.Redis.Desktop.Manager.1.3.1.dmg Windows&#xff1a;Another.Redis.Desktop.Manager.1.3.1.exe 也许你还想试试Medis Mac…