07 2017 档案
摘要:6.1 壳的基础知识 程序运行流程 未加壳程序流程 原程序 → 加载到内存中 → 顺利执行 加壳程序流程 加壳程序 → 加密的原程序读取到内存 → 解密并释放 → 原程序加载到内存中 → 顺利执行 壳的运行过程 加载API函数 解密区段 进行代码重定位 转到入口点 6.2 壳在免杀领域的作用 加壳免
阅读全文
摘要:花指令 花指令就是一段本可以不存在的指令,存在的唯一目的就是掩盖程序中的一些东西。 5.1 什么是花指令? 程序正常运行时完全可以不需要的,人们可以加进去的一段代码,或是刻意修改程序流程的一段代码。 5.2 脚本木马的花指令应用 定义空变量 输出无用的if语句条件判断 无意义的输出 5.3 花指令的
阅读全文
摘要:1 学习目标 WinRAR5.40(64位)的弹框广告去除,由于我的系统为x64版本,所以安装了WinRAR(x64)版本。 OD无法调试64位的程序,可以让我熟悉x64dbg进行调试的界面。 其次是这玩意儿真是太蛋疼了,无休止弹广告。 2 破解思路 1)偷梁换柱 修改汇编函数段首为返回值(本次逆向
阅读全文
摘要:病毒逆向分析除了可以提高逆向能力之外,还提高与病毒的抗战能力。近期会涉及到对许多病毒样本进行分析,其中许多样本会有重复。所以网上找了相关的工具与excel行对比重复的技巧。 Vistanita Duplicate Finder :一款重复文件查找工具,可以帮助查找重复的病毒样本。避免对重复的样本进行
阅读全文
摘要:0x1 PDF是什么 PDF(便携式文件格式,Portable Document Format)是由Adobe Systems在1993年用於文件交换所发展出的文件格式。 因为PDF的文件格式性质广泛用于商业办公,引起众多攻击者对其开展技术研究,在一些APT(Advanced Persistent
阅读全文
摘要:1、背景 截获病毒样本时遇到各类脚本病毒样本。 2、调试.wsf脚本 .wsf格式文件是windows脚本文件(Windows Script File)的简称,一个wsf文件中不仅可以同时包含js和vbs脚本,而且可以包含Perl、Object REXX、python、 Kixtart等脚本。这类脚
阅读全文
摘要:第3章 免杀与特征码 这一章主要讲了一些操作过程。介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具。 VirTest5.0特征码定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyC
阅读全文
浙公网安备 33010602011771号