17bdw随手笔记

摘要： 1、介绍 需要多少行代码转换hex成反汇编呢？ 多亏了Python的Capstone库，做这件事只需要五行。 在二进制分析中，进行Exploit开发或逆向工程时，需要快速将十六进制的Shellcode反编译成反汇编。你可以使用像OllyDbg或IDA Pro这样的反编译工具，但如果你不想使用一个成熟 阅读全文

摘要： 1、提醒 百度分析恶意PDF文件，很多都是推荐PDFdump。在某次沙箱产品分析出疑似高级威胁的PDF样本后，我使用PDFdump查看ShellCode的加密数据，分析后并没有找到相关的ShellCode。 跟研发人员探讨后，发现PDFdump并没有将pdf文件中的数据完全进行解析。一些乱码状的数据 阅读全文

摘要： 1、IDA Pyhon介绍 IDA Python是IDA6.8后自带插件，可以使用Python做很多的辅助操作，非常方便的感觉。 2、IDA Python安装 从github上IDAPython项目获取跟自己电脑IDA、Python对应的版本。 项目地址：https://github.com/ida 阅读全文

摘要： A Basic Windows DKOM Rootkit Pt 1 https://www.landhb.me/posts/v9eRa/a basic windows dkom rootkit pt 1/ Project：https://github.com/landhb/HideProcess 阅读全文

摘要： 1.样本概况 | 病毒名称 | Virus.Win32.Virut.ce | | |: :| | MD5 | 6A500B42FC27CC5546079138370C492F | | 文件大小 | 131 KB (134,144 字节) | | 壳信息 | 无壳 | | 文件名 | 9 29_vir 阅读全文

摘要： 0x1 加法与减法的优化原理 1.1 加法的识别与优化 加法优化有3种方案： 1）形式1：变量与变量 2）形式2：变量加常量 3）形式3：变量加1 C源代码： int _tmain(int argc, _TCHAR* argv[]) { int nNum, nA = 8; nNum = argc + 阅读全文

摘要： 1、前言 工作中偶尔会遇到去现场提取木马样本回公司分析的情况。如果是生产环境下，不方便安装各类抓包、安全软件时。能用系统自带的命令去定位出木马程序相关的信息是最理想不过的状态。 2、Windows常用命令 2.1 查询端口 netstat an // a 显示所有连接和侦听端口 n 以数字形式显示地 阅读全文

摘要： 1、前言 Python发展以来，除了web安全方向，二进制方向也早已经积累有很多用Python写的项目。作为搜集者当然不能错过！ 2、项目分类 安全编程 多功能Python键盘记录工具：Radium 项目地址：https://github.com/mehulj94/Radium-Keylogger 阅读全文

摘要： 0x1 switch-case分支 switch-case其实就是if-else语句的另一种体现形式。但大于3之后的switchc-case。编译器会对代码进行优化。 1.1 简单switch-case分支识别技巧 C源代码： int _tmain(int argc, _TCHAR* argv[]) 阅读全文

摘要： 1、前言 近期在分析病毒式，频繁搜索相关的资料与病毒分析规范 、流程、步骤，从中也收获了一下看起来很酷炫的分析工具。 2、集成环境类 FLARE VM：能够分析Windows恶意软件的虚拟机 这一个集成工具是国外知名的反病毒厂商FireEye所开源出来的一个项目集成环境，遗憾的是我通过文章中提到的B 阅读全文