-
-
[原创]找寻盗号木马的踪迹。
-
发表于:
2024-1-27 11:30
3390
-
这一段时间,我在找盗号木马的踪迹,这是我的记录及心得。请大佬绕步。
我的系统是windows11系统。找盗号木马,用的是这个命令。
netstat -p TCP -anb
最后的-b参数能显示进程名。
根据进程找可疑ip可以定位木马。。。
这段代码通过进程名获得pid.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | import psutil
def hook_process(process_name):
for proc in psutil.process_iter():
try :
pinfo = proc.as_dict(attrs = [ 'pid' , 'name' , 'cmdline' ])
except psutil.NoSuchProcess:
pass
else :
if pinfo[ 'name' ] = = process_name:
print (pinfo)
return pinfo[ 'pid' ]
if __name__ = = '__main__' :
pid = hook_process( 'SearchHost.exe' )
if pid:
print ( 'hook process success' )
else :
print ( 'hook process failed' )
|
我在SearchHost进程中找到了CoreMessaging.dll模块,里面的PostMessageW函数可疑。下面是我的hook代码。。。因环境不好复现,没有做的更多。。。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | from ctypes import *
from ctypes.wintypes import HWND, UINT, WPARAM, LPARAM
dll = windll.LoadLibrary( "CoreMessaging.dll" )
PostMessage = dll.PostMessageW
PostMessage.argtypes = [HWND, UINT, WPARAM, LPARAM]
PostMessage.restype = BOOL
hwnd = c_int( 6224 )
message = 0x100
wparam = 0
lparam = 0
result = PostMessage( 6224 , message, wparam, lparam)
if result = = 0 :
print ( "Failed to post message" )
else :
print ( "Message posted successfully" )
|
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)