boloto1979/Basic-Types-of-Malware
GitHub: boloto1979/Basic-Types-of-Malware
一个以可运行代码演示现代恶意软件核心技术的教育性仓库,涵盖五大攻击技术模块并映射 MITRE ATT&CK 框架,同时提供蓝队检测视角。
Stars: 19 | Forks: 1
# 恶意软件的基本类型
关于现代恶意软件中使用的基础技术的教育性仓库。每个模块都通过可运行的代码演示了一项特定技术,详细解释了每个 API 调用、MITRE ATT&CK 映射以及检测视角(蓝队)。
## 模块
### 1. [访问令牌操纵](Access%20Token%20Manipulation/)
**技术:** 窃取特权进程的访问令牌,以其他用户的身份执行代码,而无需密码。
- `ATM.cpp` — Windows: `OpenProcessToken` → `ImpersonateLoggedOnUser` → `CreateProcessWithTokenW`
- `unix_ATM.cpp` — Linux: `setuid` + `fork` + `execl`
- **MITRE:** T1134.001 — Token Impersonation/Theft
### 2. [远程进程注入](Remote%20Process%20Injection/)
**技术:** 将 shellcode 注入到合法进程的内存空间中,以掩盖恶意活动。
- `procinj.cpp` — Windows: `VirtualAllocEx` → `WriteProcessMemory` → `CreateRemoteThread`
- `unix_procinj.c` — Linux: `mmap` → `memcpy` → `mprotect` → 函数指针
- **MITRE:** T1055 — Process Injection
### 3. [反向 Shell](Reverse%20Shell/)
**技术:** 让目标发起连向攻击者的出站连接,绕过防火墙,并通过 socket 重定向 `cmd.exe`。
- `rev-shell.cpp` — Windows: `WSASocket` → `WSAConnect` → `CreateProcess`(重定向句柄)
- **MITRE:** T1059.003 — Windows Command Shell
### 4. [Sockets](Sockets/)
**技术:** 基于 TCP/IP 的客户端-服务端通信 —— 这是所有恶意软件与 C2 服务器通信的基础。
- `server_socket.c` / `socket_client.c` — C: `socket` → `bind` → `listen` → `accept`
- `server_socket.py` / `client_socket.py` — Python: 简化等效实现
- **MITRE:** T1095 — Non-Application Layer Protocol
### 5. [Windows API — Shellcode 执行](WIndows%20API/)
**技术:** 在当前进程中分配可执行内存,复制 shellcode 并通过线程执行 —— 这是无文件恶意软件的基础。
- `exec_shellcode.cpp` — Windows: `VirtualAlloc` → `RtlMoveMemory` → `CreateThread`
- **MITRE:** T1106 — Native API
## 前置条件
| 模块 | Windows | Linux |
|---|---|---|
| Access Token Manipulation | MinGW 或 MSVC + `advapi32.lib` | `gcc` |
| Remote Process Injection | MinGW 或 MSVC | `gcc` |
| Reverse Shell | MinGW 或 MSVC + `ws2_32.lib` | — |
| Sockets | MinGW 或 MSVC (C 语言客户端/服务端) | `gcc` |
| Windows API | MinGW 或 MSVC | — |
## 免责声明
本仓库纯粹出于教育目的。严禁不当或非法使用此处包含的任何工具或信息。在对非自身拥有的系统进行测试之前,请务必获得明确的授权。
恶意软件相关知识应用于合乎道德和负责任的方式 —— 用于保护系统并为更安全的数字环境做出贡献。
标签:C, C++, Python, 恶意软件, 教育项目, 数据擦除, 无后门, 端点可见性, 网络安全, 逆向工具, 隐私保护