前言 最近在学golang原理，于是就研究了一下channel和goroutine，了解golang底层是怎么操作的 channel 什么是channel，为什么它可以做到线程安全？ Channel是Go中的一个核心类型，可以把它看成一个管道，通过它并发核心单元就可以发送或者接收数据进行通讯(communication),Channel也可以理解是一个先进先出的队列，通过管道进行通信。

引言 近年来go语言火热，一些恶意软件也闻风而起，然而go程序在编译过程中集成了大量的基础库，并且不同版本格式也存在较大差异，给逆向带来不小的阻力。乐视云安全攻防小组专注于应急事件响应，二进制安全，让我们一起剖析下基于go的恶意软件. 近日，乐视安全中心接获用户服务器高负载告警，经安全人员协查分析，发现是通过redis漏洞传播的挖矿木马-ddg，大量消耗服务器资源，难以清除并具有内网扩散功能

前言 今天开始讲讲木马攻防，感觉这些内容大家应该会更感兴趣一些，就从隧道木马说起。为什么会有隧道木马这一说呢？这是根据通信协议进行分类的。讲隧道木马之前，先讲讲端口映射和转发。端口映射和端口转发其实是一回事，原理是一样的，由于应用场景不同，才产生了不同的含义。 场景1 端口映射 端口映射的使用，以下图为例，这是一个在渗透测试中，比较常见的场景。 一个hacker通过扫描暴露到公网中的主机A

Golang如何限制木马图片上传服务器的实例 自己开发了一个云对象存储服务，用于存储某个项目中所有的文件资源。 问题 在进行安全测试时，自己遇到了一个问题：无法限制木马病毒模拟的图片文件进行上传。看似是一个图片后缀的文件，其实是一个木马脚本。比如图片文件：muma.jpeg，我们使用 UltraEdit 编辑器打开这个文件，文件内容如下图所示： 然而，一个正常的 jpeg

项目背景 自己开发了一个云对象存储服务，用于存储某个项目中所有的文件资源。 问题 在进行安全测试时，自己遇到了一个问题：无法限制木马病毒模拟的图片文件进行上传。看似是一个图片后缀的文件，其实是一个木马脚本。比如图片文件：muma.jpeg，我们使用 UltraEdit 编辑器打开这个文件，文件内容如下图所示： 然而，一个正常的 jpeg 图片文件的内容如下图所示： 解决 那么如何解决这个问题呢

一、Go语言木马增长显著据网络安全公司 Intezer 报告显示，恶意软件的开发者已经从 C 和 C++ 逐渐转向 Go 语言，自 2017 年以来，基于 Go 语言的恶意软件数量呈现爆发式增长，增幅超过了 2000%。预计Go的使用率在未来几年将持续上升，并与C、C++和Python一起，成为恶意软件编码的首选编程语言之一。Go语言木马的迅猛增长，与Go语言天然的开发优势有较强联系

概述 构建一个简单的远控木马需要编写三个独立的部分：植入程序、服务端程序和管理程序。 植入程序是运行在目标机器上的远控木马的一部分。植入程序会定期轮询服务器以查找新的命令，然后将命令输出发回给服务器。 管理程序是运行在用户机器上的客户端，用于发出实际的命令。 服务端则负责与植入程序和客户端的交互，接收客户端的指令，并在植入程序请求时，将命令发送给植入程序，随后将植入程序发送来的结果传递给客户端。

Palo Alto Networks公司旗下Unit 42威胁研究团队于本周二（12月18日）发文称，Sofacy组织仍在继续使用他们的Zebrocy木马实施攻击。无论是在2018年第一季度的攻击活动中，还是在10月底和11月初的攻击活动中，都出现了该木马的身影。最近，Zebrocy的开发人员再次使用不同的编程语言——Go语言创建了一个新的Zebrocy变种。需要说明的是

流行的木马很多，比如现在开始出现了VHD格式恶意文件，本文提及的属于ISO格式恶意文件，相当于多了一层“保护层”。在逆向的学习与实践中确实没有那么简单，目前看以前记录的一些文章提及的心得内容是真的，大部分情况下会遇到混淆以及各种对抗手法来阻碍被分析或者被发现，和单纯地逆向分析二进制漏洞存在一定不同。不过事物总是相对的，总得以需要完成的目标来进行分析，例如我们只需获取外连的C2地址（本地动态分析

0×1 概述近日腾讯御见威胁情报中心监测到大量下载Glupteba恶意代理木马。不同以往的是，该恶意木马并未通过Operation Windigo僵尸网络进行传播，而是通过其他的木马下载器（Scheduled.exe）进行传播。进一步溯源分析发现，该木马下载器利用“永恒之蓝”漏洞进行传播，从而导致了该木马的感染量的激增。Glupteba木马会绕过UAC，以管理员权限和系统权限运行