由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析

声明

以下内容仅为技术科普,从未隐讳任何个人、群体、公司。非文学作品,请勿用于阅读理解的练习。

预告

本文包含多种内容,希望你坚持看到最后!

  • 天眼查询系统病毒
  • 锁机代码分析
  • 病毒研究进阶
  • 文件MD5知识科普
  • 实例:如何修改一个抖音视频的MD5

天眼查询系统病毒

这个病毒到底是什么呢?现在市面上有很多衍生版本,功能包括但不限于:

  • 打开之后空间会被篡改;
  • 调用QQ群转发的功能,进行恶意传播。
  • 打开软件后系统被锁机
  • 打开软件后手机变得巨卡无比

您可以参考下面的视频分析

锁机代码分析

之前我们专门出了两期视频教程,教大家如何通过电脑或者手机分析锁机软件的密码

一些锁机源码分享,这里防止被恶意盗用,我们设置了小小的门槛(本内容由热心网友投稿)

图片[1]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

后面我们还会给大家准备一些针对APP加固过的逆向教程,敬请期待

更多病毒研究

我之前还总结了一部分最新的病毒样本,如果您是做网络安全的或者病毒检测相关的爱好者,可以了解

当然,您也可以移步到卡巴斯基粉丝论坛,寻找相关的样本

[病毒样本] 【持续更新】盘点一些著名的病毒名称及样本分享(1.6更新Alliance,Birthday宏病毒)

如果,您不确定自己下载的软件或者程序是否含有病毒,您可以上传到云沙箱进行检测

当然,如果您想自己捣鼓一个沙箱,可以学习一下布谷鸟Cuckoo沙箱的部署方法

沙箱之所以提供多个引擎,就是怕出现反逃逸的情况。

有一些比较厉害的病毒开发者,会在沙箱环境下自动隐藏病毒行为,而在真机上才能触发,因此,沙箱结果仅作为参考,实际情况如果你不放心还是要到模拟器里跑一下的!

文件MD5知识科普

这里,要引出我们今天讨论的重点问题了!文件MD5是什么?到底有什么用?

之前很多办案机关,例如网警,在调查取证时,会保存证据电子数据信息,并生成MD5然后拷贝走!

为了防止,在拷贝走的过程中文件被篡改,或者有人恶意破坏证据,因此会使用到MD5值作为校验。

当然,我们如果经常看病毒包告,会发现他们的大致格式如下

就拿天眼查询系统1.0.apk病毒报告为例

类型: 木马
名称: UDS:Trojan.AndroidOS.Piom.ajra
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 天眼查询系统.apk
MD5: 80A9BEB6746531CA5DAAAE7C6AC2CADE

一般文件后面都有一个MD5值,而且很多软件在下载时,都会附上MD5值

所以,这个MD5值到底是干什么用的呢?

其实,它是可以帮助我们判断,这个软件是否被第三方经过加工处理、篡改过,因此,我们确认文件是否完整只需要验证MD5就好了。

如何查询并比对一个程序的MD5

这里还以天眼查询系统.apk为例,我们收到了群友分享的这个文件,但我们想看下这个和网上疯传的是否为同一个。

那我们这时可以通过windows电脑的CMD,输入下面命令进行验证

certutil -hashfile 天眼查询系统.apk MD5

我们这里看到哈希值与上面的80A9BEB6746531CA5DAAAE7C6AC2CADE不同,因此可以判断是被人篡改后的文件!

图片[2]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

所以文件的MD5值,可以很好的校验文件的完整性。如果你不会用命令行,我们在下方评论区附了一个链接,你可以在链接里在线查看文件的MD5值

图片[3]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

延申:抖音视频中的MD5如何修改

之前很多做抖音视频搬运的小伙伴们,都了解抖音的视频上传检测中,存在MD5比对,相当于你如果不是第一个发这个视频的人,你的视频就会被认定为可能是抄袭的,因此不会获得很高的流量,那么如何修改文件的MD5呢?

修改代码

  • 源文件名称
  • 记事本
  • 新文件名称

记事本需要在里面随便填写一些内容

copy /b 原文件名称+记事本.txt 新文件名称

修改案例:如何修改一个抖音视频的MD5

视频教程

图文教程

比如我们把某个抖音视频先通过抖音在线去水印的工具下载下来,这里是猪头烧香.mp4

图片[4]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

然后新建一个FancyPig.txt,里面内容可以随便写一些(不会影响结果)

图片[5]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

那我们的命令则是

copy /b 猪头烧香.mp4+FancyPig.txt 猪头烧香2.mp4

然后生成好了

图片[6]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

我们可以验证,看到MD5值已经被修改了

图片[7]-由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析-FancyPig's blog

当然,抖音的机制并不只是检测MD5,MD5只是最初级的检测,抖音平台为了更好的评价这些没有营养的内容的原创性,还会进行关键帧抽取比对人工智能算法等各种检验,因此,我们给出的教程也只是帮大家涨涨知识,真正要想在抖音上火还是要做原创内容!

© 版权声明
THE END
喜欢就支持一下吧
点赞21 分享
评论 共81条

请登录后发表评论