摘要：前言 RC4和DES算法一样，都是对称加密算法，密钥可以同时加密和解密数据。不同的是DES将数据分组后加解密，而RC4则是以字节流的方式对数据每一个字节进行加解密。RC4是恶意代码常用算法，因为它体积小易于实现，并且没有明显加密常量，很难使用插件进行识别。 原理 通过密钥(Key 1-256字节)， 阅读全文

该文被密码保护。

摘要：前言 常用反调试(Anti-Debug)检测思路： 检测PEB结构特定标志位，例如："BeingDebugged"。使用系统API，例如："IsDebuggerPresent"等。检测指定调试器特征，例如：检测进程，窗口标题等。 索引 // PEB_检测 BeingDebugged NtGlobal 阅读全文

摘要：前言 最近对Office系列宏病毒比较感兴趣，网上找了一个Word样本练练手，宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行，或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单，查看VBA代码基本就能知道病毒执行的内容，但是如果代码中的函数、变量、字符 阅读全文

该文被密码保护。