空
博客长了草,是时候来清理一下了。
“空”,这个字其实是一字禅语,能从心底理解了这个字的人,一般就“开悟”了。自知慧根其实还差的远,只是觉得本文缺个开头,贴上来占个地方,仅此而已。
这段期间主要是在分析僵尸网络的样本,然后写跟踪程序,然后等待指令验证跟踪结果。这工作本身并没什么新技术,索性还是不写了。
不过为了辅助样本分析工作,搞出了一个有趣的工具模型,它就像是个潘多拉魔盒。对大部分人来说,毛用没有,而对一些有资源的人来说,它也可以成为一件兵器。今天部门共享了数据,我顺便分享个协议模拟器,凑个热闹。
C&C模拟器
由于最近的工作内容同样本家族的通讯协议关联度很大,为了验证逆向分析的结果,就实现了一个C&C模拟器,来模拟恶意样本的主控端,这个主控端,除了能辅助样本的动态调试,还可以用来验证跟踪程序实现的正确性,可以说对本人工作还是很有帮助的。
用了一段时间突然意识到,有了这类工具的辅助,就可以迅速将已经抓到的样本为己所用,如果能开发出服务端生成器类型的工具,同样可以很有效的降低攻击成本。
地址
python实现的,已经托管到github上了,感兴趣的去下载吧。仅用于模型验证,如果想要用于实战,还有很多细节需要注意。
https://github.com/rootkiter/cc_simulator