[原创]Mirai总结-从源码到反汇编-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]Mirai总结-从源码到反汇编

2016-12-22 17:01 17420

[原创]Mirai总结-从源码到反汇编

帝星捧月

活跃值

1

2016-12-22 17:01

17420

主要是对已有各路大佬的mirai源码分析一些总结和归纳，自己从Main函数开始对流程梳理了一遍。除了源码分析外，还有mirai编译的一些说明，以及一个mirai变种的反汇编分析(这部分非常少

)。
这个东西写了两个礼拜，里面肯定会有错误，大神轻喷

解压密码:bbs.pediy.com

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Mirai木马总结—从源码到反汇编.7z （4.52MB，731次下载）

收藏・24

点赞・1

打赏

分享

打赏 + 1.00雪花

打赏次数 1

雪花 + 1.00

+1.00

2017/05/08

最新回复 (18)
syxdotar 雪币： 1112 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 89 粉丝 0 关注私信	syxdotar 2016-12-22 17:37 2 楼 0 看一看分析代码
BlackTrace 雪币： 1298 活跃值： (137) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 161 粉丝 0 关注私信	BlackTrace 2016-12-22 18:00 3 楼 0 下载了，瞅瞅，一直比较感兴趣，谢谢楼主分享
option 雪币： 7806 活跃值： (2271) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 715 粉丝 1 关注私信	option 2016-12-23 07:53 4 楼 0 谢谢分享，学习一下
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2016-12-24 03:10 5 楼 0 下来学习一下
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 50 回帖 419 粉丝 1 关注私信	我是谁！ 2016-12-26 17:15 6 楼 0 移动设备不懂啊，貌似是java源码
brightzhang 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	brightzhang 2016-12-26 18:55 7 楼 0 初学者学习先。
地狱怪客雪币： 339 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1142 粉丝 8 关注私信	地狱怪客 2 2016-12-26 19:10 8 楼 0 太厉害了。
bays 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	bays 2016-12-31 18:45 9 楼 0 厉害了，谢谢。
血柒雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	血柒 2017-1-9 21:22 10 楼 0 楼主您好，我搭建了一套模拟的Mirai系统进行实验，用的Vmware虚拟机，telnet连接C&C，发送http ... 60，这样的命令，进行http flood攻击自己搭建的win server 2008 IIS服务器（asp网站），同时用wireshark抓包怎么抓不到http请求？请问您是否修改了相关代码？syn、greip之类的都可以抓到包，只有http不行。希望楼主能帮忙解惑，谢谢！
帝星捧月雪币： 614 活跃值： (434) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 22 粉丝 2 关注私信	帝星捧月 1 2017-1-10 10:45 11 楼 0 你先确保80端口畅通(虽然这是句废话)，你可以把attack_app.c中的debug宏判断去掉，重新编译，它会打印攻击信息，判断下哪里有问题，我当时测试环境没你设置这么复杂,我起了个httpd测试的，代码我好像改了一部分，但是应该没影响
媳妇说不知道雪币： 227 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	媳妇说不知道 2017-5-2 22:39 12 楼 0 帅哥，我正在写论文，可以引用你的文章吗，看到请给个回复，谢谢
帝星捧月雪币： 614 活跃值： (434) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 22 粉丝 2 关注私信	帝星捧月 1 2017-5-11 11:12 13 楼 0 媳妇说不知道帅哥，我正在写论文，可以引用你的文章吗，看到请给个回复，谢谢可以
L布衣雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	L布衣 2017-5-12 08:24 14 楼 0 看一下
媳妇说不知道雪币： 227 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	媳妇说不知道 2017-5-15 16:36 15 楼 0 帝星捧月可以谢啦
keepsmiling 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	keepsmiling 2018-6-5 22:42 16 楼 0 楼主您好，一个ubuntu虚拟机搭建了c&c和loader(http,ftp), 我已经配置好了，也能够进行cnc访问，我把另外一个虚拟机作为bot,我是在这个虚拟机下运行badbot还是mirai.dbg，运行badbot时，出现：REPORT 127.0.0.1:80，，然后就是一直等待，运行mirai.dbg时，出现：DEBUG MODE YO [main] We are the only process on this system! listening tun0，，，我想问问您，我这样做是否正确，以及接下来怎样做一些测试，谢谢您。
EXHades 雪币： 119 活跃值： (259) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	EXHades 2018-7-8 18:47 17 楼 0 感谢分享！！！刚好最近在研究这个真是太感谢了
driftli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	driftli 2018-7-9 18:54 18 楼 0 感谢分享啊，一直都想抽空研究下Mirai源码
Love Lenka 雪币： 1048 活跃值： (65) 能力值： ( LV1，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	Love Lenka 2020-6-28 17:47 19 楼 0 33
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

帝星捧月

发帖

回帖

RANK

关注

他的文章

[原创]海莲花APT样本逆向分析

[原创]Mirai总结-从源码到反汇编

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区