随笔分类 -  安全工具

【逆向】使用IDA Python脚本自动化解密字符串数据
摘要:前言 一个肚脑虫(Donot)APT组织的下载器样本,样本中的一些关键字符串数据需要使用指定函数进行动态解密。所以正好借此机会记录下怎么使用IDA Python脚本来解密字符串数据。使用IDA Python脚本自动化解密字符串数据对逆向分析人员来说应该是一个比较常用的功能。 myDecode为解密函 阅读全文
posted @ 2021-01-20 20:05 SunsetR 阅读(2310) 评论(0) 推荐(2)
【逆向】x64dbg设置条件断点 比较内存字符串是否相等
摘要:前言 在OD中可以设置条件断点,通过表达式对字符串数据进行比较,比如在CreateFile打开某个特定文件的时候让调试器中断。但是在x32dbg、x64dbg中因为表达式只支持整数,不支持字符串和其它数据,所以不能像OD设置条件断点一样来比较两个字符串是否相等。x64dbg 设置条件断点,只能用取内 阅读全文
posted @ 2021-01-07 21:32 SunsetR 阅读(7509) 评论(2) 推荐(2)
【逆向】x64dbg基础教程
该文被密码保护。
posted @ 2020-09-27 17:30 SunsetR 阅读(3) 评论(0) 推荐(0)
【逆向】Cobalt Strike Malleable C2配置文件编写教程
摘要:前言 Malleable C2是Cobalt Strike的一个功能,它允许我们通过编写配置文件来改变Beacon与C2通信时的流量特征与行为。在学习之前我们先通过下图了解下Beacon与Teamserver通信的基础过程。 示例 以下示例基本包含了编写配置文件需要用到的元素。 1 #设置全局选项 阅读全文
posted @ 2020-05-25 00:04 SunsetR 阅读(1676) 评论(0) 推荐(1)
【逆向】利用IDA远程调试与内存快照识别动态函数调用
摘要:前言 简单记录下IDA远程调试功能使用,然后用一个小Demo演示下利用内存快照功能记录动态函数调用与变量的方法。 环境 物理机:调试主机(Windows、Linux、Mac)虚拟机:被调试主机(Windows、Linux、Mac) 步骤 1、根据被调试主机系统版本,拷贝IDA根目录“\dbgsrv” 阅读全文
posted @ 2020-05-21 20:50 SunsetR 阅读(1028) 评论(0) 推荐(2)
【逆向】FakeNet-NG 下一代动态网络分析工具
摘要:前言 FakeNet-NG是一款开源的动态网络分析工具,它可以对所有或特定的网络流量进行拦截和重定向。使用该工具,恶意软件分析人员可以快速识别恶意软件的功能并捕获网络签名。而渗透测试人员和漏洞研究员在使用它的可配置拦截引擎和模块化框架在测试应用程序的特定功能和原型Poc时也非常有用。 安装 Wind 阅读全文
posted @ 2020-05-03 17:01 SunsetR 阅读(1214) 评论(0) 推荐(1)
【逆向】使用yarGen自动生成yara规则
摘要:前言 yarGen是一款yara规则生成器,它可以从恶意软件中获取可疑字符串来创建yara规则,同时过滤掉正常的字符串。 下载安装 yarGen是一个开源项目,源代码以zip和tar.gz的形式提供,你可以在Github页面中进行下载。 使用以下命令安装所有依赖项 sudo pip install 阅读全文
posted @ 2020-04-17 21:46 SunsetR 阅读(1989) 评论(0) 推荐(2)
【逆向】GadgetToJScript-反序列化加载.NET程序
摘要:前言 GadgetToJScript与之前介绍的DotNetToJScript一样都是一款可以将.NET程序封装到JS、VBS等脚本中执行的开源工具。其区别在于GadgetToJScrip修改了反序列化调用链,它能够绕过AMSI,并添加了绕过.NET4.8与阻止Assembly.Load的功能。 项 阅读全文
posted @ 2020-04-09 21:15 SunsetR 阅读(1482) 评论(0) 推荐(2)
【逆向】Yara规则编写安装与使用教程
摘要:前言 Yara是一个能够帮助恶意软件研究人员识别和分类恶意软件样本的工具(类似正则表达式)。规则可以通过文本或二进制的模式被创建,并且每个规则均由一组字符串和一个布尔表达式组成。 1 //示例规则 2 rule Test : Trojan 3 { 4 //规则描述 5 meta: 6 author 阅读全文
posted @ 2020-04-08 17:15 SunsetR 阅读(5220) 评论(1) 推荐(3)
【逆向】DotNetToJScript-反序列化加载.NET程序
摘要:前言 最近分析了一个html的样本,其中JS代码是用开源工具"DotNetToJScript"生成的,其主要功能就是通过反序列化加载执行.NET程序,所以这里对"DotNetToJScript"工具做个简单记录。 项目结构 DotNetToJScript(主项目) ExampleAssembly(测 阅读全文
posted @ 2020-04-03 20:15 SunsetR 阅读(1910) 评论(1) 推荐(2)
【逆向】IDA sig签名文件制作
摘要:前言 使用IDA分析程序时,目标程序通常都没有pdb符号文件,这时候如果IDA没有对应的sig签名文件,就会有很多库函数和自定义函数无法识别。如果类似的函数有很多,就没有办法很好的分析。本文将介绍如何创建和使用IDA sig签名文件。 步骤 1、获取要创建签名文件的静态库文件(.lib)2、利用FL 阅读全文
posted @ 2020-02-02 15:57 SunsetR 阅读(4309) 评论(1) 推荐(0)
【逆向】IDA脚本基础教程
该文被密码保护。
posted @ 2019-11-06 20:46 SunsetR 阅读(756) 评论(0) 推荐(0)