首页 > 菜鸟学院 > 利用第三方软件0day漏洞加载和执行的木马分析

利用第三方软件0day漏洞加载和执行的木马分析

时间:2015-03-04 | 来源:互联网 | 阅读:131

话题:

图 4. 使用含有恶意代码的参数执行含有 0day 漏洞的文件

3、由于 science.exe对输入的参数没有检查,当输入的参数长度过长时,造成栈溢出

图 5. 漏洞细节:由于软件解析参数时没有校验长度,导致缓冲区溢出

图6.漏洞利用细节:精心构造最后三字节数据精确定位跳转执行ShellCode

图 7.ShellCode 的自解密算法

图8. ShellCode的功能是读取并解密Config.dat文件,直接在内存中加载执行

图9.创建一个系统服务,服务对应的镜像文件为science.exe,并带有恶意参数


木马通过创建服务来实现永久地驻留在用户电脑中,实现长期地监控。完成服务创建后,即完成了木马的安装过程,为了隐蔽运行不被用户发觉,木马服务启动后会以创建傀儡进程的方式注入到svchost.exe进程中,在该进程中连接C&C服务器,连接成功后黑客便可通过该木马监视用户桌面、窃取用户任意文件、记录用户键盘输入、窃取用户密码、打开摄像头和麦克风进行监视监听等。从而实现远程控制目标计算机的目的。

小编推荐


湘ICP备2022002427号-10湘公网安备:43070202000427号
© 2013~2019 haote.com 好特网