1.针对macOS盗版UltraEdit恶意软件的深度技术剖析
2.ultraedit功能
针对macOS盗版UltraEdit恶意软件的深度技术剖析
在近期,MalwareHunterTeam的专家揭露了一起涉及盗版macOS程序的恶意软件事件。该程序文件名是“ultraedit.dmg”,内含一个名为“libConfigurer.dylib”的恶意库。最初发现时间在年。本文将深入分析此次事件,线程池源码图从磁盘镜像文件入手,进而探讨恶意动态库的详细内容。
macOS用户熟悉UltraEdit,这是一款功能强大的文本与十六进制编辑器,支持大型文件编辑。然而,盗版版的UltraEdit应用程序隐藏着风险。在VirusTotal平台,该样本被数十家反病毒软件标记,但标记名称并不特定,如“Trojan.MAC.Generic”或“Trojan-Downloader.OSX.Agent”,这使得识别恶意软件类型变得困难。网易云 打卡 源码
通过加载磁盘镜像,我们发现该盗版程序被挂载至/Volumes/UltraEdit .0.0.,且无任何签名信息,而正版UltraEdit应用程序则包含合法签名。在盗版软件中寻找恶意组件,通常较为困难,特别是对于大型应用而言。然而,我们成功识别了一个名为“libConfigurer.dylib”的恶意组件。
该组件为无符号位(Intel)dylib库,也被VirusTotal平台标记。它被添加为依赖库,意味着当用户启动盗版UltraEdit时,此库会自动加载。通过反汇编工具,我们发现其中包含了一个名为initialize的构造器,执行此构造器后,wps在线浏览源码会下载并执行名为download.ultraedit.info的代码。
下载的代码文件被转储为/tmp/.test和/Users/Shared/.fseventsd,文件内容通过解码后,似乎与已知的恶意软件Khepri相关联,这是一款基于Golang和C++开发的开源跨平台代理+后渗透工具。同时,libConfigurer.dylib从download.ultraedit.info下载的文件也包含了一些混淆的Mach-O源码。
进一步分析显示,.test文件似乎是恶意软件的一部分,它使用/usr/local/bin/ssh执行,这可能用于远程控制或数据传输。而.fseventsd文件则通过文件监控器实现持久化,每次用户登录时自动启动或重启。
总结此次事件,盗版UltraEdit应用程序不仅引入了恶意动态库,还通过网络下载和执行了额外的恶意代码。恶意软件组件通过混淆和持久化技术,北京鸿源码斋增加了检测和移除的难度。在分析过程中,我们使用了多种工具,包括VirusTotal、otool、nm、反汇编工具等,以及第三方安全资源和开源工具,以获得更全面的理解和证据。
面对此类恶意软件,用户应避免下载和使用盗版软件,以保护系统安全。同时,持续监控和更新防病毒软件也是防范恶意软件的重要措施。尽管本文中详细介绍了此次事件的分析过程,但请注意,恶意软件的java源码版本控制变种和更新不断,因此保持警惕和采用多层安全防护策略是应对恶意软件的关键。最终,确保系统的安全性,避免遭受潜在的威胁。
ultraedit功能
UltraEdit是一款功能全面且灵活好用的文本编辑器,特别适合源代码编写。它能用作普通文本文件编辑器、批处理文件编辑器,以及C、C++、Java、JSP、HTML、XML等源代码编辑器。支持本地文件或通过FTP远程操作文件。 UltraEdit能对文本文件进行排序,支持自定义排序方式;对进制文件进行字节修改;对文件内容进行整体操作,如格式转换、内容编辑等;统计文本文件或源代码文件的字符、词数量;对项目进行操作。 作为源代码编辑器,UltraEdit提供语法着色,使用户清晰区分代码成分。支持JAVA、PERL、HTML、XML、C#、C/C++、Visual Basic等语言的语法着色,适合直接编写代码。用户可以自定义着色方式,甚至增加不认识的语言进行着色。 在编辑JAVA程序时,UltraEdit能识别关键词并进行着色,区分变量和字符串等。新版本支持自动完成文件配置,实现IDE的自动补全功能。对于HTML、JSP、ASP等文件,UltraEdit能区分scriptlet和HTML代码,并进行着色,提供HTML TAG和特殊字符的全面支持,方便查找和使用。 UltraEdit具备丰富的编辑功能,包括查找、替换、搜索、正则表达式查找、进制编辑、书签定义、滚动到特定行、只读设置、括号匹配、文件信息查看、空格清除、自动缩行、大小写转换、文件格式转换等。 UltraEdit拥有特色功能,如插入颜色、插入当前时间、ASCII码查找、拼写检查、行排序、内容发送至邮箱、文件比较、行选择模式和区域选择等。其强大的编辑功能可以与优秀IDE相媲美,支持通过配置javac和java命令实现直接编译和运行代码。 UltraEdit支持FTP方式工作,用户可以编辑远程服务器上的文件,编辑完成后通过FTP保存,特别适用于JSP、ASP、HTML等文件的编写。 配置编译器和运行指令在高级->工具配置菜单中完成。用户可以自定义命令行输入,指定工作目录,实现编译和运行功能。扩展资料
UltraEdit 是一套功能强大的文本编辑器,可以编辑文本、十六进制、ASCII 码,完全可以取代记事本(如果电脑配置足够强大),内建英文单字检查、C++ 及 VB 指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。软件附有 HTML 标签颜色显示、搜寻替换以及无限制的还原功能,一般用其来修改EXE 或 DLL 文件。能够满足你一切编辑需要的编辑器。2024-11-23 08:40
2024-11-23 08:29
2024-11-23 08:18
2024-11-23 06:51
2024-11-23 06:40
2024-11-23 06:28
2024-11-23 06:22
2024-11-23 06:21