对有关病毒木马的案例分析

第1篇一、案例背景随着互联网的普及和信息技术的发展，网络安全问题日益突出。

近年来，黑客攻击事件频发，给我国社会和经济发展带来了严重的影响。

本文将以一起典型的黑客攻击法律案例为切入点，分析黑客攻击的法律责任及应对措施。

二、案情简介2019年6月，某知名电商平台遭遇黑客攻击，导致大量用户个人信息泄露。

黑客通过破解该平台服务器安全防护系统，获取了包括用户姓名、身份证号码、手机号码、银行卡信息等在内的敏感数据。

事件发生后，该平台迅速采取措施，关闭漏洞，加强安全防护。

然而，由于黑客攻击的破坏性，该事件仍然造成了恶劣的社会影响。

三、案件处理1. 调查取证事件发生后，公安机关迅速介入调查。

通过调查，发现黑客攻击事件涉及境外黑客组织，其通过在服务器上植入木马病毒，窃取用户信息。

在调查过程中，公安机关成功锁定犯罪嫌疑人，并对其进行了抓捕。

2. 法律责任根据《中华人民共和国刑法》第二百八十五条、第二百八十六条、第二百八十七条之规定，黑客攻击行为属于非法侵入计算机信息系统罪。

犯罪嫌疑人因涉嫌非法侵入计算机信息系统罪，被依法逮捕。

3. 案件审理在案件审理过程中，法院依法审理了黑客攻击案件的犯罪事实、证据、法律适用等问题。

最终，法院以非法侵入计算机信息系统罪，判处犯罪嫌疑人有期徒刑三年，并处罚金人民币五万元。

四、案例分析1. 黑客攻击的法律责任黑客攻击行为违反了我国《刑法》关于计算机信息网络安全的有关规定，侵犯了公民个人信息安全。

根据我国法律，黑客攻击行为将承担刑事责任。

在本案中，黑客攻击行为已构成非法侵入计算机信息系统罪，犯罪嫌疑人被依法追究刑事责任。

2. 网络安全防范措施（1）加强网络安全意识。

企业和个人应提高网络安全意识，定期对计算机系统进行安全检查，及时更新操作系统和软件，避免因系统漏洞导致黑客攻击。

（2）加强网络安全防护。

企业和个人应加强网络安全防护措施，如设置复杂的密码、定期更换密码、安装杀毒软件等。

（3）建立健全网络安全管理制度。

“木马行为分析”报告一、木马程序概述在计算机领域中，木马是一类恶意程序。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

1、木马的定义木马是隐藏在合法程序中的未授权程序，这个隐藏的程序完成用户不知道的功能。

当合法的程序被植入了非授权代码后就认为是木马。

木马是一个用以远程控制的c／s程序，其目的是不需要管理员的准许就可获得系统使用权。

木马种类很多，但它的基本构成却是一样的，由服务器程序和控制器程序两部分组成。

它表面上能提供一些有用的，或是仅仅令人感兴趣的功能，但在内部还有不为人所知的其他功能，如拷贝文件或窃取你的密码等。

严格意义上来说，木马不能算是一种病毒，但它又和病毒一样，具有隐蔽性、非授权性以及危害性等特点，因此也有不少人称木马为黑客病毒。

2、木马的分类木马的种类很多，主要有以下几种：其一，远程控制型，如冰河。

远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连接，控制者就能任意访问被控制的计算机。

其二，键盘记录型。

键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里进行完整的记录，然后通过邮件或其他方式发送给控制者。

QQ盗号木马之逆向分析电脑已经走进我们的生活，与我们的生活息息相关，感觉已经离不开电脑与网络，对于电脑安全防范，今天小编在这里给大家推荐一些电脑病毒与木马相关文章，欢迎大家围观参考，想了解更多，请继续关注店铺。

一般来说，病毒分析不会涉及到算法问题，如果是要分析算法(如我之前对于CM4注册机制的分析)，那么我们更多地是需要关注程序的流程与逻辑，一般不深究CALL的具体内容。

而病毒分析则往往需要搞清楚各个不同的CALL的意义，才能够弄清楚病毒的行为。

所以本文的第一部分着重讲述对这些CALL的剖析。

而第二部分则简单讨论一下进程守护技术的实现。

逆向分析这里我们跳过程序的初始化部分，来到第一个API函数的位置：我们能够直接看到的第一个API函数是GetModuleFileName，这个函数用于获取当前进程已加载模块的文件的完整路径，该模块必须由当前进程加载。

而该函数的返回值则是文件路径长度，该返回值保存在了EAX中，为2B，也就是说路径长度为2B个字符。

可以看一下所返回的路径是什么。

路径保存在“PathBuffer”中，跟踪该地址查看：可见程序已正确获取了当前文件的地址。

然后继续分析下一个API 函数：这里出现了ShellExecute这个函数，它的功能是运行一个外部程序(或者是打开一个已注册的文件、打开一个目录、打印一个文件等等)，并对外部程序有一定的控制。

具体到本程序，ShellExecute会运行Explorer.exe程序来打开“d:\”，其实也就是使用程序管理器打开D 盘根目录。

但是执行这个API函数是有条件的，它需要根据第二行CALL语句的结果进行判定，那么有必要进入这个CALL，看看需要满足什么条件才能够执行ShellExecute。

进入oso.00403C48这个函数程序会对EAX和EDX中的内容进行比对，其中EAX保存的字符串就是我们之前使用GetModuleFileName所获取的当前文件的路径，只不过被转化成了大写字符。

新网购木马分析报告一．病毒描述：网购木马运行后会在用户使用网银购买商品时,弹出钓鱼页面把用户银行的钱为病毒作者购买联通充值卡或其他商品.该病毒会用带数字签名的好压程序（或暴风程序）来加载病毒模块并将木马模块注入到系统进程中让系统进程作为病毒载体运行.受影响网银：中国银行，中国工商银行，中国民生银行，浦发银行，招商银行等二．变量声明：%System32% win32子系统目录通常为C:\windows\system32%ProgramFiles% 软件安装目录通常为C:\Program Files三．病毒文件：四．病毒母体工作流程分析(HaoZip.dll):1.正常的好压程序被运行后,该病毒dll会被加载.2.当该dll被加载后,首先会创建一个互斥对象,并通过返回值判断此对象是否存在,如果存在则表示好压程序已经运行并且该dll已经被加载,故会让刚刚运行的好压程序退出.3.如果是第一次被加载,则会首先获得其进程主模块文件名并判断是不是好压程序是否成功运行的标志.4.从dat中读取1024字节(最终PE的SizeofHeaders)到申请的空间中,依次异或0x4c并加0x4d 用来解密,最后把解密后的PE头信息存放到文件中6．创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 设置自启动.7.接着病毒进入了一个while死循环,通过全局变量保存傀儡系统进程的进程ID,每隔5秒检测预先保存的傀儡进程ID是否有效,来判断傀儡进程是否存在,如果不存在就重新创建.直到好压程序被结束才会退出该循环.五．母体创建傀儡进程分析：1.如果不存在,则进入到创建傀儡进程的流程,这也是母体的一个亮点.2.首先读入dat文件,此文件为最终网购木马的PE头部部分大小1024字节,通过读入内容来校验MZ头PE头等有效性,以及获得SizeOfImage OEP等关键PE信息.3.,然后进行解密,解密方法依次异或0x4c并加上0x4d,先解密PE头部,然后依次解密各个节.在解密过程中会校验，如有不同则不会解密.4.然后获取后续注入用的函数地址:ZwUnmapViewOfSection VirtualProtectEx VirtualAllocEx WriteProcessMemory SetThreadContext ResumeThread ReadProcessMemoryGetThreadContext CreateProcessAsUserA等函数的地址,为后续“注入”做准备.5.枚举进程获得Explorer.exe的进程ID,然后获得EXPLORER.EXE的进程访问令牌.6.然后以挂起标志创建傀儡系统进程,应用程序路径为%System32%\notepad.exe，把其访问令牌设置为12中得到的Token,并且其桌面设置为winsta0\\default,而不是继承其主进程的桌面.7.获得刚创建的傀儡系统线程上下文ThreadContext.8.获得进程主映像文件的映像加载基地址.即获得系统原文件的ImageBase9.最后传入ImageBase卸载掉进程notepad.exe的主映像.10.在notepad.exe进程中申请空间容纳已经在好压程序进程空间中解密完成的病毒PE文件.11.修改PEB处原进程ImageBase12.在notepad.exe的进程空间中从地址0x00400000开始写入解密后的病毒PE文件.13.并设置此时线程上下文eax的值为病毒PE文件的OEP.然后把上下文信息设置回去14.恢复notepad.exe进程运行,这样貌似正常的系统进程notepad.exe实际上运行的是病毒代码.这样傀儡进程就创建完毕.可见病毒作者对内核还是有一定了解的.六．主功能网银劫持木马文件分析：1. 首先病毒运行会创建隐藏窗口,并修改其窗口回调函数.2. 设置一定时器Timer,每隔一段时间枚举当前系统进程,检测是否有sougouexplorer.exe 的存在,因为病毒的功能是基于IE内核,所以如果用户运行搜狗浏览器则会结束掉.3设置另一定时器Timer,每隔一段时间枚举当前桌面所有窗口句柄,然后调用GetClassName 获得其类名，并将类名与Internet Explorer_Server进行比较,如果其类名是Internet Explorer_Server,表明用户正在浏览IE页面.4. 从IE浏览器控件中获得关键指针.5. 获得指针之后就可以获得IE页面的各种信息.以及修改当前页面的相关信息.6. 通过调用WININET.DLL的导出函数来来读取病毒作者指定的网页用来获得病毒作者事先准备的邮箱等.调试信息7. 调用WININET.DLL的导出函数访问读取另一个网址/msg.asp?Uid=c5344b32-5726c3e5-ca852db5-dae88a7d的内容获得病毒进程要弹框的对话框标题内容为：系统不支持.因为病毒作者使用的是E语言模块,是破解版,但是和谐不了其模块的验证机制,所以程序运行通过自校验此E语言模块会弹框正常情况下会弹出内容为：该模块已被恶意修改过，为了确保模块不会被邦定木马！请到[精易论坛]下载原始版！....的对话框,而为了不让用户注意所以病毒作者修改了此弹框内容把弹框内容改为系统不支持.8. 获得当前IE页面的domain域名信息如果其域名信息模糊匹配到了以下中的任何一个:/standard/payment/cashier.htm 支付宝支付页面/bankgateway/bankCardPayRedirectResponse.htm.----快钱/paygate/BankCallBack.aspx.---- 盛付通/bank_receive.php.----百联电子商务支付/app-merchant-proxy/neticbcsztobank.action---易宝支付/?view=info¬ice=/spay/pay/wyPayReturn.do.payment.----哥们网游平台/pay/:91/result.php-----银联在线此外病毒对人人网, 4399上的支付也有同样的劫持效果.9. 如果匹配成功,表明用户在相关网购支付页面,使用js脚本如document方法，使其页面最终会跳转到/web/Buycard/BuycardInit.10. 当用户选择银行点击下一步提交时,病毒获得页面信息进而获得用户所使用的银行以及购买数量和需要使用的金额.用于生成钓鱼页面.11. 其中病毒对淘宝页面有特殊处理,当用户到达支付页面时,病毒会修改网页内容,使用户不能使用余额支付,当用户使用卡通支付时,在跳转页面后病毒会修改主页显示卡通不能用,总之病毒的目的就是迫使用户使用网银支付.12. 当用户选择网上银行,然后欲登录网银支付页面时,病毒将用户的花费信息以及所使用的银行发送到病毒作者域名空间中.为病毒作者自己的域名网址.13. 然后根据获得的银行然后和病毒所支持的钓鱼页面银行名单做对比,如果符合则开始进行为病毒作者购买联通充值卡.符合病毒的网上银行有：中国农业银行，广发银行，中国银行，中国工商银行，中国民生银行浦发银行招商银行等.14. 如果符合的话则病毒会跳转页面.快速跳转到联通购卡面,/web/Buycard/BuycardChoseCard15. 然后病毒迅速填写购买充值卡数量,其中需要填写验证码,这点病毒不可绕过,所以病毒会弹出一个页面,同步购卡页面的验证码来诱使用户填写验证码.16. 当用户填写验证码点击继续支付时,病毒会迅速填写表单,把需要填写的邮箱填写为病毒作者的邮箱,这样购买的卡号等会通过病毒作者的邮箱来获得,然后自动跳转并且病毒自动点击下一步,直至将要跳转到网银支付阶段.由于填写迅速所以用户很难发现此页面的存在过.17. 然后根据用户使用的银行以及所花费的金钱订单数等生成一个假的支付页面,在URL 不变的情况下加载病毒生存的url页面.其支付页面具有真实的支付功能,只是相关表单是病毒通过用户购买真实的物品所填写,而不是填写病毒的购卡信息等.用来诱骗用户支付.当用户输入相关银行帐号密码等,其实际购买的是联通充值卡,而卡号相关的被发送到病毒作者的邮箱中.到此病毒窃取用户网银金钱成功.当用户付完款后会提示交易超时等让用户在此付款直到卡内没钱.七．辨别真假网银页面:下面看下网银页面真假对比通过上述两个银行的真假页面对比可知,他们有一个共同点:订单号的区别.即正常网银的支付页面的订单信息中订单号是以当前日期为开始的,而假页面的订单号为随机的几位数字.即用户通过判断订单号是否是以当前日期为开始的数字串即可辨别此类病毒所导致的钓鱼页面.八．好压/暴风程序"漏洞"分析：病毒作者之所以选择好压或者暴风程序作为病毒Loader,是因为好压/暴风在运行时会加载haozip/StromUpdate.dll,但该升级程序疏忽的两点是1.该程序未对DLL路径做任何判断,只是简单的获取好压/暴风程序的路径然后在其目录下拼接dll路径(如果对DLL路径做检测比如DLL路径必须是好压/暴风的安装路径的话,可能病毒dll就不会被加载).2.该程序没有对其DLL做校验,比如检测是否有好压/暴风的数字签名,以及crc32校验等.正因为这两点疏忽导致被病毒利用.。

网络安全攻防技术及实用案例分析随着网络技术的发展，网络安全已经成为一个不可避免的话题。

在网络工程的建设、运营和管理中，网络安全攻防技术是非常重要的一个方面。

本文将就网络安全攻防技术进行探讨，并分析实际案例。

一、网络攻防技术介绍1.网络攻击技术网络攻击技术包括各种黑客攻击技术，如网络钓鱼，木马病毒，黑客入侵等。

网络钓鱼是指攻击者通过伪装成合法的实体（如银行、电子商务网站等）来获取用户的敏感信息，同时也是一种社会工程技术。

攻击者通过编写冒充网站的恶意代码或攻击站点服务的服务器，来骗取用户的密码和其他敏感信息。

木马病毒是指存在于计算机网络中，不被目标用户所知道的程序，通常利用硬件和软件漏洞来进入系统。

木马病毒破坏了系统的完整性，给攻击者留下了一个隐藏的通道，从而可以悄然地窃取有价值的数据。

黑客入侵通常是指在没有被授权的情况下访问已被保护的计算机系统的行为，这是一种非法的攻击方式。

黑客利用已知或未知的漏洞，入侵目标系统并控制它们，以满足他们的目的。

黑客入侵破坏了网络的安全性，可能导致数据泄漏、错误的数据操作甚至灾难性的后果。

2.网络防御技术网络防御技术包括各种信息安全技术、安全应用程序等。

网络安全技术包括许多防御工具，如入侵检测、防火墙、VPN、内容过滤等。

这些防御工具能够检测和分析各种网络攻击，并保护用户的网络系统免受攻击。

其中，入侵检测是一种能够检测网络入侵，并对网络入侵事件做出反应的工具。

防火墙是保护网络安全的一种可编程的软件或硬件设备，用于限制或允许特定网络流量的流动。

VPN是一种安全的网络连接，在加密通信链路中传输数据，提供了安全性和隐私性的保证。

内容过滤则是指应用软件技术来过滤不安全的网站和恶意软件。

二、网络安全攻防实例分析1.社交工程攻击实例分析一些黑客通过伪装成著名网站的网页，来骗取用户信息。

例如，黑客可以通过发送电子邮件的方式来伪装成银行官方网站，并让用户输入敏感信息。

通过使用这种方法，黑客可以轻松地获取用户的账号和密码。

手动清除计算机病毒案例分析作者：马振伟来源：《电脑知识与技术》2020年第31期摘要：计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码（1）。

计算机病毒具有很强的隐蔽性，有些可以通过病毒软件监测出来，有些隐蔽性很强，具有一定的环境适应性能力，这类病毒处理进来通常很困难（2）。

由于杀毒软件更新的滞后性，用常规的杀毒方法未必能及时有效，且很容易损坏正常软件，造成计算机无法正常运转等损失。

正确分析计算机的异常行为，查找发病源，通过手动杀毒，也是一种直观的方法及有价值的尝试。

关键词：计算机病毒;杀毒软件;手动杀毒中图分类号：TP311 文献标识码：A文章编号：1009-3044（2020）31-0071-02计算机感染病毒后通常会出现一些容易发觉的异常表现行为，如计算机启动速度慢、程序运行卡顿、文件损坏或丢失以及出现间歇性断网等。

通过计算机行为的异常表现，然后反推问题的根源，再通过适当的杀毒方法进行病毒清除。

下面是一个服务器出现异常的案例：笔者打开服务器时异常卡顿，打开任务管理发现svchost运行程序占用CPU资源达到99%以上，严重影响了服务器的运行，这是病毒的一种典型表现。

1 病毒特征分析1.1 Svchost进程分析Svchost.exe是Windows操作系统中的核心进程文件，从动态链接库（Dynamic Link library，DLL）中加载的通用主机进程，该进程是系统运行的基础进程之一，且不能被中止（3）。

因为svchost.exe是一個基础进程，可以访问很多系统资源和文件，所以svchost.exe非常容易被病毒所利用。

被病毒利用之后，系统常会弹出svchost.exe错误，当然svchost.exe病毒也有不少专杀工具。

很多木马程序喜欢伪装成这个服务程序来逃过查杀。

为进一步确认，笔者通过资源管理器观察了一下这个进程的更多属性，发现了更多异常之处。