[原创]找寻盗号木马的踪迹。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]找寻盗号木马的踪迹。

发表于: 2024-1-27 11:30 3360

[原创]找寻盗号木马的踪迹。

ranshu

2024-1-27 11:30

3360

这一段时间，我在找盗号木马的踪迹，这是我的记录及心得。请大佬绕步。

我的系统是windows11系统。找盗号木马，用的是这个命令。

netstat -p TCP -anb

最后的-b参数能显示进程名。

根据进程找可疑ip可以定位木马。。。

这段代码通过进程名获得pid.

#写一段hook指定进程的程序
 
 
import psutil
 
def hook_process(process_name):
    for proc in psutil.process_iter():
        try:
            pinfo = proc.as_dict(attrs=['pid', 'name', 'cmdline'])
        except psutil.NoSuchProcess:
            pass
        else:
            if pinfo['name'] == process_name:
                print(pinfo)
                return pinfo['pid']
                 
if __name__ == '__main__':
    pid = hook_process('SearchHost.exe')
    if pid:
        print('hook process success')
    else:
        print('hook process failed')

我在SearchHost进程中找到了CoreMessaging.dll模块，里面的PostMessageW函数可疑。下面是我的hook代码。。。因环境不好复现，没有做的更多。。。

#根据进程pid钩住CoreMessaging.dll模块的PostMessagew函数
 
 
from ctypes import * 
from ctypes.wintypes import HWND, UINT, WPARAM, LPARAM  
   
# Load DLL  
dll = windll.LoadLibrary("CoreMessaging.dll")  
   
# Get PostMessage function from DLL  
PostMessage = dll.PostMessageW  
   
# Set argument types and return type of PostMessage  
PostMessage.argtypes = [HWND, UINT, WPARAM, LPARAM]  
PostMessage.restype = BOOL  # According to the documentation, PostMessage returns a BOOL  
   
# Create a handle to a window (HWND)  
hwnd = c_int(6224)  # You should replace this with the actual window handle you want to send the message to  
   
# Define the message you want to send (UINT) and the parameters for the message (WPARAM and LPARAM)  
message = 0x100  # You should replace this with the actual message you want to send  
wparam = 0 
lparam = 0 
   
# Call PostMessage with the given arguments  
#result = PostMessage(hwnd, message, wparam, lparam)  
result = PostMessage(6224, message, wparam, lparam)
if result == 0:  
    print("Failed to post message")  
else:  
    print("Message posted successfully")

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#开源分享

收藏・2

免费・0

支持

最新回复 (3)
ranshu 雪币： 4520 活跃值： (889) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 75 粉丝 3 关注私信	ranshu 2 楼这是我在研究的dll文件。附带一些微软的工具。。。上传的附件：逆向程序文件.zip （3.63MB，11次下载） 2024-1-27 11:38 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 3 楼现在还有盗号，不怕牢底坐穿 2024-1-27 18:14 0
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 4 楼感谢分享 2024-1-28 23:21 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ranshu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
ranshu 雪币： 4520 活跃值： (889) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 75 粉丝 3 关注私信	ranshu 2 楼这是我在研究的dll文件。附带一些微软的工具。。。上传的附件：逆向程序文件.zip （3.63MB，11次下载） 2024-1-27 11:38 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 3 楼现在还有盗号，不怕牢底坐穿 2024-1-27 18:14 0
秋狝雪币： 3004 活跃值： (30861) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 4 楼感谢分享 2024-1-28 23:21 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复