来自 应用 2021-05-03 03:08 的文章

防cc攻击_cdn防护搜索引擎_怎么办

特洛伊滴管的故事简介:最近,微软云防御ddos,Zscaler ThreatlabZ从我们的一个客户那里收到了一份可疑的文件,文件名为"订单详细信息.zip". 从归档文件中提取可执行文件之后,我执行了一次virustotal扫描,以获取有关该文件的一些信息。当时,很少有杀毒软件供应商有定义,将文件标记为恶意文件。因此,我决定更详细地查看文件。在完成分析之后,我决定在博客上发表关于威胁的文章。考虑到分析过程中获得的信息量,我决定将博客分成多个部分。现代恶意软件通常对二进制文件进行某种打包或模糊处理,以逃避防病毒检测。因此,在分析文件时,cc攻击防御开启后,最好确定可能使用了哪个包装器。为了做到这一点,我实现了一个流行的工具PEiD来检查是否存在已知的包装器。正如我们在上面看到的,PEiD无法从这个文件中获取任何内容,但这并不意味着该文件没有打包。让我们仔细看看文件。在浏览文件部分时,其中一个部分(.data)包含了异常大的数据量,乍一看给人的印象是它是模糊的。这是一个重要的线索,也是我们在调试文件时必须牢记的一点。在参考资料部分,我们可以看到文件图标类似于PDF文件,这增加了我们的怀疑。另外,文件没有经过数字签名。让我们进一步执行文件。当我这么做的时候,我收到了一份崩溃报告,上面是Windows告诉我的。"Adobe.exe"在执行死刑时坠毁了。我们从一开始就知道这不是一个合适的PDF文件,因此不能与adobereader一起使用。现在让我们看看在哪里Adobe.exe存在于文件系统中。Windows搜索显示文件Adobe.exe在temp文件夹中,nginx防御ddos模块,当执行该文件夹时,会产生与上面同时显示的结果完全相同的结果,宝塔cc防御,网易的ddos防御,Wireshark捕获无法输出利息。在这一点我们有足够的证据继续进行额外的调试,我将在这篇博客文章的第二部分详细解释。特洛伊木马滴管的故事IIZscaler_媒体_中心2_博客_发布_1-R1