摘要： 0x00前言 此样本是GlobeImposter勒索病毒早期版本，它会加密磁盘文件并篡改后缀名..doc。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件。 分析工具：DIE、火绒剑、IDA、OD 分析环境：Win7 x86 Vmware 0x01样本信息 File name:  阅读全文

摘要： 0x00 SSDT： SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。 内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。 KeServic 阅读全文

摘要： 测试环境系统:Windows 10 64bit 注入目标: Ps2模拟器 主要思路:1.使用进程PID打开进程,获得句柄 2.使用进程句柄申请内存空间 3.把dll路径写入内存 4.创建远程线程,调用LoadLibrary 5.释放收尾工作或者卸载dll 主要函数: 主要代码: DLL代码: 注入效 阅读全文

摘要： 1．样本概况 1.1 样本信息 病毒名称：spo0lsv.exe（熊猫烧香） 所属家族：Worm MD5值：512301C535C88255C9A252FDF70B7A03 SHA1值：CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32：E334747C 文 阅读全文

摘要： 环境工具：Windows 10 010Editor 目标程序功能: 调用MessageBoxA弹出消息框。 1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WOR 阅读全文

摘要： 0x00前言 Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门，允许远程攻击者访问受感染的计算机，通常会寄生在用户的浏览器中，难以察觉，因此每天都有数以万计的用户受其困扰。 分析工具：PEID、火绒剑、IDA、OD 分析环境：Win7 x86 Vmware 0x01样本信息 阅读全文