爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

中国香港地区 DDoS-botnet 分析报告

# XorDDoS-botnet分析与防御指南 ## 一、概述 XorDDoS-botnet是一种活跃于中国香港地区的DDoS僵尸网络，自2017年11月开始活动，持续至今。该僵尸网络通过爆破和利用JAVA Struts漏洞感染主机，并通过添加自启动服务和安装RootKit驱动实现持久化驻留。其主要特征包括： - 中控域名：jun6.f3322.net - 中控服务器IP：118.184.43.7（中国香港） - 主要攻击类型：SYN攻击和DNS攻击 - 攻击规模：肉鸡数量曾达到顶峰，攻击

2025-08-20 10:39:05

Bisonal恶意软件变种分析

# Bisonal恶意软件变种分析教学文档 ## 1. 恶意软件概述 Bisonal是一种自2014年开始活跃的恶意软件，主要针对俄罗斯、韩国和日本的政府、军事和国防相关企业组织。最新变种在加密方法、网络通信和驻留机制方面进行了重写。 ## 2. 攻击活动特点 ### 2.1 攻击目标 - 俄罗斯：通信安全服务和产品公司，特别是提供加密和密码服务的企业 - 韩国：政府、军事和国防相关企业 - 日本：政府、军事和国防相关企业 ### 2.2 攻击手法 - 使用鱼叉式钓鱼邮件作为初始攻击载

2025-08-20 10:38:08

基于Telegram的安卓恶意软件HeroRAT分析

# HeroRAT安卓恶意软件分析教学文档 ## 一、HeroRAT概述 HeroRAT是一个基于Telegram Bot API的安卓远程管理工具(RAT)家族，由ESET安全研究人员于2018年6月发现。该恶意软件主要通过第三方应用商店、社交媒体和即时通信应用在伊朗地区传播。 ### 主要特点： - 使用Telegram BOT API作为C2通信渠道 - 基于Xamarin框架开发（使用C#语言） - 采用TeleSharp库实现Telegram Bot功能 - 具有典型的RAT功能

2025-08-20 10:27:19

DarkHydrus powershell恶意软件

# DarkHydrus PowerShell恶意软件分析教学文档 ## 1. 概述 DarkHydrus是一个针对中东地区的攻击活动，使用PowerShell恶意软件进行攻击。攻击链分为三个阶段，主要通过鱼叉式钓鱼邮件传播。 ## 2. 攻击流程 ### 2.1 初始感染阶段 - **传播方式**：含有密码保护的.RAR文件的鱼叉式钓鱼邮件 - **文件类型**：.IQY文件(Excel Internet Query file) - **MD5哈希**：377cfd5b9aad2473

2025-08-20 10:26:35

Hack 虚拟内存系列（三）：虚拟内存图解

# 虚拟内存图解教学文档 ## 1. 虚拟内存基础概念虚拟内存是现代操作系统提供的一种内存管理技术，它为每个进程提供了一个连续的、私有的地址空间，使得每个进程都认为自己独占整个内存空间。 ### 虚拟内存的主要特点： - 每个进程有自己独立的地址空间 - 内存地址与实际物理内存分离 - 提供内存保护机制 - 允许使用比实际物理内存更大的地址空间 ## 2. 实验环境准备 ### 测试环境 - 操作系统：Ubuntu 14.04 LTS - 内核版本：Linux 4.4.0-31-ge

2025-08-20 10:25:37

Hack 虚拟内存系列（四）：malloc，堆和程序间断点

# 虚拟内存与malloc原理深入解析 ## 1. 堆与malloc基础概念 ### 1.1 堆的定义堆是进程虚拟内存中用于动态内存分配的区域，位于程序数据段之后，通过程序间断点(program break)来界定其结束位置。 ### 1.2 malloc的作用 malloc是C语言中用于动态分配内存的函数，它从堆中分配指定大小的内存块并返回指向该内存块的指针。malloc不是系统调用，而是库函数。 ## 2. malloc的内部机制 ### 2.1 malloc与系统调用 mall

2025-08-20 10:24:17

ZombieBoy加密货币挖矿恶意软件分析

# ZombieBoy加密货币挖矿恶意软件分析报告 ## 概述 ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫，与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新，研究人员每天都能发现新的样本。 ## 技术细节 ### 1. 基础设施 ZombieBoy使用多个运行HFS(HTTP文件服务器)的服务器来获取payload： - ca[dot]posthash[dot]org:443/ - sm[dot]posthash[dot]o

2025-08-20 10:23:19

网络隧道：突破内网的通行证

# 内网隧道技术详解 ## 一、前言内网隧道(Intranet tunnel)指的是通过网络隧道的方式，将内网的服务映射到公网上，从而使得外部主机可以访问内网资源。在后渗透阶段，内网隧道的搭建可以帮助攻击者在内部网络中进行更加隐蔽和灵活的操作，从而更好地实现攻击目标。网络隧道还可以帮助我们绕过内网防御、横向渗透、数据转移、隐藏攻击行为。 ## 二、ICMP隧道 ### 1. ICMP协议简介 ICMP(Internet Control Message Protocol)Interne

2025-08-20 10:22:05

银行木马Pegasus样本分析

# Pegasus银行木马样本分析技术文档 ## 1. 概述 Pegasus是一种复杂的银行木马，最初被误认为出自黑客组织Carbanak之手，但实际由Buhtrap（Ratopak）黑客组织开发。该木马具有模块化架构和独特的网络传播机制，主要针对俄罗斯银行系统。 ## 2. 技术架构 ### 2.1 模块化设计 Pegasus采用模块化架构，功能分为多个模块，在编译时组合成一个binpack。主要模块包括： 1. **初始化模块(InstallerExe)**：负责初始感染 2.

2025-08-20 10:20:24

Hack 虚拟内存系列（五）：栈，寄存器和汇编

# 栈、寄存器和汇编代码深入解析 ## 栈的基本概念栈是位于内存高端并向下增长的内存区域，主要用于存储局部变量和函数调用信息。在x86-64架构中，栈通过两个特殊寄存器进行管理： - **RBP (基址指针寄存器)**：指向当前栈帧的底部 - **RSP (栈指针寄存器)**：指向当前栈帧的顶部 ## 栈帧的创建与销毁 ### 栈帧创建过程 1. **保存前一个栈帧的基址**： ```assembly push rbp ``` 将当前rbp值压入栈中，保存前

2025-08-20 10:18:52

Pipe管道利用

# Windows管道(Pipe)利用完全指南 ## 管道基础概念管道(Pipe)是Windows操作系统中进程间通信(IPC)的重要机制，允许数据在两个进程之间传输。管道分为两种主要类型： ### 1. 匿名管道(Anonymous Pipe) **特点**： - 单向通信：数据只能单向流动（从一个进程的输出流到另一个进程的输入流） - 进程关系：通常用于父子进程之间的通信 - 使用限制：只能在同一台计算机上使用，不能用于网络通信 **典型用例**： - 父进程创建匿名管道，并将其

2025-08-20 10:17:56

深入分析图形渲染库精度问题引发的安全漏洞（上篇）

# 图形渲染库精度问题引发的安全漏洞深入分析 ## 1. 精度问题漏洞概述精度问题漏洞是一种罕见但危险的漏洞类型，主要影响图形渲染库，偶尔也会出现在其他软件中。这类漏洞的根本原因是精度误差导致应用程序的安全假设失效，转而使用有限精度算法。 ### 1.1 与整数溢出的对比 - **整数溢出**：运算结果太大而无法以给定精度准确表示 - **精度问题漏洞**：运算结果或结果的一部分太小而无法以给定精度准确表示 ### 1.2 典型示例 ```c float a = 100000000

2025-08-20 10:16:02

跳转到页