boloto1979/Basic-Types-of-Malware

GitHub: boloto1979/Basic-Types-of-Malware

一个以可运行代码演示现代恶意软件核心技术的教育性仓库,涵盖五大攻击技术模块并映射 MITRE ATT&CK 框架,同时提供蓝队检测视角。

Stars: 19 | Forks: 1

# 恶意软件的基本类型 关于现代恶意软件中使用的基础技术的教育性仓库。每个模块都通过可运行的代码演示了一项特定技术,详细解释了每个 API 调用、MITRE ATT&CK 映射以及检测视角(蓝队)。 ## 模块 ### 1. [访问令牌操纵](Access%20Token%20Manipulation/) **技术:** 窃取特权进程的访问令牌,以其他用户的身份执行代码,而无需密码。 - `ATM.cpp` — Windows: `OpenProcessToken` → `ImpersonateLoggedOnUser` → `CreateProcessWithTokenW` - `unix_ATM.cpp` — Linux: `setuid` + `fork` + `execl` - **MITRE:** T1134.001 — Token Impersonation/Theft ### 2. [远程进程注入](Remote%20Process%20Injection/) **技术:** 将 shellcode 注入到合法进程的内存空间中,以掩盖恶意活动。 - `procinj.cpp` — Windows: `VirtualAllocEx` → `WriteProcessMemory` → `CreateRemoteThread` - `unix_procinj.c` — Linux: `mmap` → `memcpy` → `mprotect` → 函数指针 - **MITRE:** T1055 — Process Injection ### 3. [反向 Shell](Reverse%20Shell/) **技术:** 让目标发起连向攻击者的出站连接,绕过防火墙,并通过 socket 重定向 `cmd.exe`。 - `rev-shell.cpp` — Windows: `WSASocket` → `WSAConnect` → `CreateProcess`(重定向句柄) - **MITRE:** T1059.003 — Windows Command Shell ### 4. [Sockets](Sockets/) **技术:** 基于 TCP/IP 的客户端-服务端通信 —— 这是所有恶意软件与 C2 服务器通信的基础。 - `server_socket.c` / `socket_client.c` — C: `socket` → `bind` → `listen` → `accept` - `server_socket.py` / `client_socket.py` — Python: 简化等效实现 - **MITRE:** T1095 — Non-Application Layer Protocol ### 5. [Windows API — Shellcode 执行](WIndows%20API/) **技术:** 在当前进程中分配可执行内存,复制 shellcode 并通过线程执行 —— 这是无文件恶意软件的基础。 - `exec_shellcode.cpp` — Windows: `VirtualAlloc` → `RtlMoveMemory` → `CreateThread` - **MITRE:** T1106 — Native API ## 前置条件 | 模块 | Windows | Linux | |---|---|---| | Access Token Manipulation | MinGW 或 MSVC + `advapi32.lib` | `gcc` | | Remote Process Injection | MinGW 或 MSVC | `gcc` | | Reverse Shell | MinGW 或 MSVC + `ws2_32.lib` | — | | Sockets | MinGW 或 MSVC (C 语言客户端/服务端) | `gcc` | | Windows API | MinGW 或 MSVC | — | ## 免责声明 本仓库纯粹出于教育目的。严禁不当或非法使用此处包含的任何工具或信息。在对非自身拥有的系统进行测试之前,请务必获得明确的授权。 恶意软件相关知识应用于合乎道德和负责任的方式 —— 用于保护系统并为更安全的数字环境做出贡献。
标签:C, C++, Python, 恶意软件, 教育项目, 数据擦除, 无后门, 端点可见性, 网络安全, 逆向工具, 隐私保护