04 2017 档案
摘要:1 学习目标 使用API添加用户可以绕过某些杀毒软件的限制。 2 编程思路 2.1 代码原理 使用NetUserAdd这个API添加普通权限的用户,NetLocalGroupAddMembers这个API添加管理员权限。 2.2 编写思路 1、定义USER_INFO_1 结构体 2、调用NetUse
阅读全文
摘要:1 学习目标 今天静态逆向mydocument病毒时,看到病毒代码为了防止自身被调试会先检测杀毒软件和调试工具的进程是否存在。如果没有杀毒软件则释放真正的病毒文件,提前熟悉一下枚举进程的反汇编代码。 2 编程思路 2.1 代码原理 这是一段检测指定进程是否存在的代码,使用CreateToolhelp
阅读全文
摘要:一开始就上手就逆向病毒还是挺困难的,总是感觉到自己的基础打得还不够扎实,所以重新对基础的反汇编知识再进行学习。 1 知识点 寄存器、栈的存储方式、反汇编指令、逻辑运算 1.1 寄存器 1.1.1 寄存器含义 EAX : 扩展累加寄存器 EBX : 扩展基址寄存器 ECX : 扩展计数寄存器 EDX
阅读全文
摘要:一 学习目标 这是一段远程控制木马开机启动的代码,主要使用了ActiveX方式启动。 二 编程思路 ActiveX启动原理 ActiveX启动是在HKEY_LOCAL_MACHINE下的Software\ Microsoft\Active Setup\Installed Components\中注册
阅读全文
摘要:名词注释 System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point of main module:主模块的入口点,即文件的入口点。 W
阅读全文
摘要:1 样本概况 1.1 样本信息 病毒图标: 病毒名称: 秒抢红包病毒样本 所属家族: a.rogue.SimpleLocker.a 文件名称: com.h 1.apk MD5值: 033ae1ba78676130e99acc8d9f853124 文件大小: 245.38KB 病毒行为:重置andro
阅读全文
摘要:android开发环境搭建 我理解的学习路线是首先要掌握和了解常见的工具、搭建环境。然后就是缓慢的积累特征,通过长期的练习使自己进步,通过android逆向课程的学习。常用的工具如下: android SDK工具包 (1)adb.exe:android debug bridge 安卓调试桥连接手机、
阅读全文
摘要:1、C++类代码的特点 寄存器ECX传参时一般用作this指针(对象地址)或是计数器。 有ecx传参的call,是成员函数,构造函数,析构函数 能访问成员变量的函数都会有ecx传参 静态函数、全局函数无ecx(this指针) 返回值 寄存器eax一般用作返回值 识别构造函数的OD反汇编代码 特点:
阅读全文
摘要:前言 很多网站下载出来的游戏很多都在启动游戏添加了广告程序,A广告嵌套B广告,再由B广告启动游戏。广告启动后关掉广告窗口,游戏也会被关掉,还会弹出一个网页广告。并且知道游戏的主要程序名后也无法打开游戏,因为游戏的PE文件被修改了,无法正常打开主游戏文件。 工具 小生我怕怕版本OD 收集信息 分析广告
阅读全文
摘要:循环 vc++使用三种语法来完成循环结构,分别为do..while,while,for。虽然完成的功能都是循环,但是每种语法有着不同的执行流程。 do..while循环:先执行循环体,后比较判断。 while循环:先比较判断,后执行循环体。 for循环:先初始化,再比较判断,最后执行循环体。 逆向前
阅读全文
浙公网安备 33010602011771号