恶意文档执行命令提取工具：CMD Watcher

在花了大量时间分析各种maldoc之后，我意识到它们有一个共同点。看看下面这张图表：

卸载分区就简单多了：umount /dev/hda1有时候卸载分区时提示分区繁忙（device is busy），可以先用下面的命令看看哪个进程在使用此分区：fuser -cu /dev/hda1假如屏幕的输出为/dev/hda1: 8463m(cck)则可以用此命令看这个进程对应的程序名字：ps 8463然后可以用此命令结束此进程：kill -9 8463这样就可以正常卸载分区了。1、该进程是用于监视软件和其它系统进程在你不知情的情况下访问网络，属于恶意软件删除工具。threatfire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending activedefense technology ),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎麽变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎么变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.。

这是Hancitor

这是Trickbot。

我将写一篇关于如何去混淆DOSfuscated脚本的后续文章。如果您对CMD Watcher感兴趣，可以从Tools页面下载它。

我意识到许多maldoc使用CMD来启动下一个阶段。当然，并不是所有的maldoc都遵循这个图表。有一些maldocs直接从VBA请求(或其变体)恶意软件，而CMD根本没有使用cmd 运行 命令。所以我想，如果我监视CMD进程并从命令行提取数据会怎么样呢?这样，我就可以从VBA宏中获得没有被混淆的输出，而不必遍历代码并手动转储内容。又如果我监视CMD进程，挂起它，提取命令行数据，然后杀掉它，会怎么样呢?我不仅能够快速、轻松地获得VBA宏输出，而且还可以避免机器损坏。CMD观察者就是这样诞生的。我去了恶意软件流量分析站点，抓了几个maldocs，启动了CMD监视器，开始打开每个文档，同时允许宏运行。看起来它在工作……这是Emotet maldoc。

这是Hancitor

这是Trickbotcmd 运行 命令。

也就是说：如果是编写脚本的时候加入defer属性，那么浏览器在下载脚本的时候就不必立即对其进行处理，而是继续对页面进行下载和解析，这样会提高下载的性能。52、目录轮链轮链是一种现在比较流行seo做外链的方法，seo通过发布文章到a(文章—–a页面)，a网站发布的文章转载到b页面留下a页面url(a— b+a)，b站发布的文章转载到c页面留下ab页面url(b—c+ab)，依此类推，最后：e页面发布的文章转载到f页面留abcde页面的 url(e—f+abcde)，这样形成了一个在b,c,d,e4个页面上都留下了a链接(a链接的最终页面指向a页面)，从而极大的提升了a页面的权重，这就是轮链的概念。async 属性仅适用于外部脚本（只有在使用 src 属性时）有多种执行外部脚本的方法： 如果 async="async"：脚本相对于页面的其余部分异步地执行（当页面继续进行解析时，脚本将被执行） 如果不使用 async 且 defer="defer"：脚本将在页面完成解析时执行 如果既不使用 async 也不使用 defer：在浏览器继续解析页面之前，立即读取并执行脚本 为html元素增加manifest，开发离线web应用程序时他与api结合使用，定义一个url，在这个url上描述文档的缓存信息。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-101655-1.html