IDA Pro o Strings n Unicode n n

  • Slides: 29
Download presentation

进一步分析脱壳文件-IDA Pro o Strings n +Unicode n 命令行参数 n Copyright (C) 2004 Raul Siles

进一步分析脱壳文件-IDA Pro o Strings n +Unicode n 命令行参数 n Copyright (C) 2004 Raul Siles & David Perez n VMware Tools n Ra. Da_commands. html n DDo. S Smurf n HKLM\. . . \Run n C: \Ra. Da\bin n __vba****: VB 2020年 11月28日 网络攻防技术与实践课程 Copyright (c) 2008-2009 诸葛建伟 15

问题 4解答 o 识别并说明这个二进制文件所采用通讯方法 n 通过HTTP协议进行通信,Ra. Da通过调用隐藏 的IE实例向web服务器发送请求,获取命令。 o Snort规则 n n n alert

问题 4解答 o 识别并说明这个二进制文件所采用通讯方法 n 通过HTTP协议进行通信,Ra. Da通过调用隐藏 的IE实例向web服务器发送请求,获取命令。 o Snort规则 n n n alert tcp any -> any $HTTP_PORTS (msg: "Ra. Da Activity Detected - Commands Request"; flow: to_server, established; content: "GET /Ra. Da_commands. html"; depth: 30; classtype: trojan-activity; sid: 1000001; rev: 1; ) alert tcp any $HTTP_PORTS -> any (msg: “Ra. Da Activity Detected - Commands Page”; flow: from_server, established; content: “NAME=exe”; nocase; depth: 1024; classtype: trojan-activity; sid: 1000003; rev: 1; ) alert tcp any -> any $HTTP_PORTS (msg: "Ra. Da Activity Detected - Multipart Message"; flow: to_server, established; content: "boundary=-------------0123456789012"; depth: 1024; classtype: trojan-activity; sid: 1000004; rev: 1; ) 2020年 11月28日 网络攻防技术与实践课程 Copyright (c) 2008-2009 诸葛建伟 23

Thanks 诸葛建伟 zhugejianwei@icst. pku. edu. cn 2020年 11月28日 网络攻防技术与实践课程 Copyright (c) 2008-2009 诸葛建伟 29

Thanks 诸葛建伟 zhugejianwei@icst. pku. edu. cn 2020年 11月28日 网络攻防技术与实践课程 Copyright (c) 2008-2009 诸葛建伟 29