渗透测试 | 看我如何还原黑客真实通信
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
本文介绍了逆向分析还原恶意流量中的通信数据的方法,包括定位PID和逆向+调试定位还原数据结构。成功还原了通信流量的数据。
🎯
关键要点
- 互联网环境中,恶意流量的通信内容可读性差,难以分析。
- 通过逆向分析可以还原恶意流量中的数据传输内容。
- 样本运行后释放诱饵文档以迷惑受害者,并加载恶意DLL实现通信。
- 使用IDA进行逆向分析,定位恶意代码的关键函数和服务名。
- 恶意代码通过创建线程和互斥体来实现其功能。
- 获取受害者主机的MAC地址、CPU信息、内存大小等数据,并进行格式化。
- 使用异或加密对明文数据进行加密,密钥为0xf7。
- 通过逆向操作成功还原通信流量的数据结构和内容。
➡️
