原文链接: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247492633&idx=1&sn=05be5fe8eaa8c8ef60c074abf2f1e958

伪装成漏洞检测工具样本分析

原创 pandazhengzheng 安全分析与研究 2025-07-04 00:31

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。

笔者从事恶意软件研究十几年了，从上大学开始对计算机的病毒研究感兴趣，到后面一直从事与恶意软件相关的工作，涉及到多个不同的平台，分析研究过的恶意软件家族笔者自己都数不清了，这么多年在笔者的电脑硬盘里面全是这十几年来研究和收集的各种恶意软件家族样本、分析技术与技巧笔记、以及与恶意软件相关的各种技术资料等。

以前笔者常戏称自己的电脑是“养马场”，因为里面全是各种病毒木马样本，包含了各种各样的恶意软件家族，这些恶意软件家族样本包含Windows、Linux(Android)、Mac(iOS)等平台。

安全行业发展了几十年了，不同的时期总是会出现各种新概念、新名词、新平台、新产品，让人眼花缭乱，然而不管哪个时期，恶意软件攻击活动却从来没有停止过，现在的恶意软件已经无处不在，防不甚防，涉及到各种不同的平台，不同的攻击手法，不同的攻击目标。

全球每天都会有各种新的攻击样本出现，这些攻击样本被运用到各种不同的攻击活动当中，包含各种黑灰产攻击、勒索攻击、APT攻击等，不管安全行业如何发展，不管出现多少新的概念，新名词，新产品，新平台，最基础最核心的安全问题，永远会一直存在，不同的时期它会有不同的表现形式，不同的攻击方法，同时会有不同的攻击样本，只要有黑客的存在，有利益的地方，就会有各种不同类型的恶意软件出现。

近日笔者在威胁情报沙箱平台捕获到一例最新的恶意样本，该样本伪装成一个漏洞检测工具，将恶意代码隐蔽在伪装的漏洞检测工具当中，样本运行之后将恶意代码直接注入到指定的进程当中远程调用执行，同时样本使用自修改变型UPX加壳技术，只能手动脱壳，笔者对该恶意样本进行了详细分析，文末提供样本的完整威胁情报。

再次提醒在网上下载的各种安全工具、破解软件以及开源项目组件等，都不要随意安装运行或随意加载调用，有可能一不小心，你就中招了。