摘要：一. 待解决问题 这个恶意代码执行了什么功能？ 通过什么方式实现其功能？ 如何实现长久驻留？ 有什么关键特征，或者说这一类恶意代码有什么关键特征？ 如何清除该恶意代码造成的影响？ 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能，但是在开始的时候走错了方向，花了一个下午的时间来动态调试，不停 阅读全文

摘要：## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”，点击运行，然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图： ![](https://img2023.cnblogs.com/blog/309 阅读全文

摘要：通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库，需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能？ 通过什么方式实现其功能？ 如何实现长久驻留？ 有什么关键特征，或者说这一类恶意代码有什么关键特征？ 如何清除该恶意代 阅读全文

摘要：1. CreateFileA, CreateMappingA 和 MapViewOfFile 是Windows操作系统中的API函数，用于文件的创建、映射和视图的获取。 CreateFileA:这个函数用于在指定路径下创建一个或多个文件。如果文件已经存在，那么它的访问权限将被改变。 CreateMa 阅读全文

摘要：1. shift+F12 展示所有的字符串； 2. ctrl+x查找某一字符串出现的所有位置； 3. F5反编译，查看伪代码； 4. *可以查看数组元素的起始位置和每个元素所占空间是多少； 5. y可修改数据类型； 6. n可修改变量名； 7. shift+E可导出数据（先用y修改数据类型，再根据数 阅读全文

摘要：##lea指令（Load Effective Address）在x86汇编语言中的作用是将一个有效地址（即一个内存地址或寄存器地址的偏移量）加载到目标寄存器中，而不是加载一个实际的内存值。 lea指令的使用场景通常有以下几种： 1. 计算数组元素的地址： 假设有一个数组arr，每个元素大小为4个字节 阅读全文

摘要：# 引言 PE文件格式是Windows操作系统下的可执行文件的格式，包括.exe文件和.dll文件，通过PE文件格式的学习，可以帮助我们更加熟悉有关Windows系统下的逆向分析和PC端病毒的学习，同时PE文件格式也是HOOK,加壳等知识的基础，在这里分享一下自己的有关PE文件格式学习的收获和如何编 阅读全文