作者: ghostwolflab.com

ELF 二进制文件感染

ghostwolflab.com发布威胁报告报告
ELF(Executable and Linkable Format)是一种用于存储和描述可执行文件、共享库和对
象文件的二进制文件格式。这种格式广泛应用于各种类 UNIX 和类 UNIX 操作系统,一般格式

可执行二进制文件、共享目标文件(.o)、共享库/共享对象(.so)、内核模块(.ko)和固
件(.bin,包含嵌入在 ELF 中的程序或应用程序特定的代码和数据)。
ELF二进制感染下载

Windows恶意软件常见API一览

ghostwolflab.com发布威胁报告报告
Windows是世界上最流行的操作系统之一,也是恶意软件的主要目标。恶意软件是指任何能够破坏、窃取或者控制计算机系统或者数据的软件。恶意软件有很多种类,例如病毒、蠕虫、木马、勒索软件、间谍软件等。一些知名的恶意软件例子包括Clop Ransomware、DarkSide Ransomware、Emotet等。恶意软件通常会利用Windows系统中的一些API(应用程序编程接口)来实现它们的恶意功能。API是指一组函数或者协议,用于让不同的软件之间进行交互或者访问系统资源。Windows提供了数千个API,涵盖了各种功能和领域。恶意软件开发者会利用这些API来隐藏自己的行为、获取敏感信息、修改系统设置、执行远程命令等。根据AV-TEST的数据,2022年前三个季度,有5958万个新的Windows恶意软件样本被发现,占所有新恶意软件样本的95.6%。这表明Windows仍然是恶意软件攻击的主要对象。
本文档旨在介绍一些Windows恶意软件常见的API,以及它们的用途和风险,希望能够帮助读者了解Windows恶意软件的工作原理和常用技术,以及如何防范和检测恶意软件的攻击。本文档适合有一定编程基础和安全知识的读者阅读。
Windows恶意软件常见API一览下载文件

PowerShdll

ghostwolflab.com发布工具资源库
如果PowerShell被禁止运行,可以使用该工具绕过。
首先下载编译的PowerShdll文件。
然后在CMD中执行以下命令:
rundll32.exe PowerShdll.dll,main
即可弹出一个PowerShell窗口:
除了使用rundll32运行,还可以通过以下方法运行该PowerShdll.dll:
1. 
    x86 - C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U PowerShdll.dll
    x64 - C:\Windows\Microsoft.NET\Framework64\v4.0.3031964\InstallUtil.exe /logfile= /LogToConsole=false /U PowerShdll.dll
2. 
    x86 C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe PowerShdll.dll
    x64 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regsvcs.exe PowerShdll.dll
3. 
    x86 C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U PowerShdll.dll
    x64 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /U PowerShdll.dll
4. 
    regsvr32 /s  /u PowerShdll.dll -->Calls DllUnregisterServer
    regsvr32 /s PowerShdll.dll --> Calls DllRegisterServer
压缩包里还带有exe文件可以直接运行:
Usage:
PowerShdll.exe <script>
PowerShdll.exe -h      Display this message
PowerShdll.exe -f <path>       Run the script passed as argument
PowerShdll.exe -i      Start an interactive console in this console (Default)