2020年11月8日
【逆向】CVE-2017-11882漏洞ShellCode调试
摘要: 前言 CVE-2017-11882漏洞原理和分析文章网上有很多,就不赘述了,简单总结下Shellcode调试方法做个记录。 步骤 1、在注册表中添加“EQNEDT32.EXE”镜像劫持。 2、x64打开“EQNEDT32.EXE”,在ret指令(0x00411874)下断,一般第二次断下时栈顶esp 阅读全文
posted @ 2020-11-08 21:54 SunsetR 阅读(284) 评论(1) 推荐(2) 编辑
2020年10月3日
【编程】正则表达式语法 零基础快速入门掌握
摘要: 前言 本文正确 "食用" 方法:1、通过功能分类,查看表达式语法及说明(适合新手)2、直接搜索表达式语法,查看语法说明(适合备忘速查)3、可以配合正则表达式工具 "Match Tracer" 一起使用4、Python语言使用正则表达式,可以参考这篇文章 修饰符 指定匹配模式:全局匹配、多行匹配、区分 阅读全文
posted @ 2020-10-03 15:09 SunsetR 阅读(176) 评论(0) 推荐(2) 编辑
2020年7月13日
【逆向】javaScript恶意脚本调试
摘要: 调试代码 <!DOCTYPE html> <html> <head> <meta name="generator" content="HTML Tidy for HTML5 (experimental) for Windows https://github.com/w3c/tidy-html5/tr 阅读全文
posted @ 2020-07-13 10:11 SunsetR 阅读(179) 评论(0) 推荐(0) 编辑
2020年5月25日
【逆向】Cobalt Strike Malleable C2配置文件编写教程
摘要: 前言 Malleable C2是Cobalt Strike的一个功能,它允许我们通过编写配置文件来改变Beacon与C2通信时的流量特征与行为。在学习之前我们先通过下图了解下Beacon与Teamserver通信的基础过程。 示例 以下示例基本包含了编写配置文件需要用到的元素。 1 #设置全局选项 阅读全文
posted @ 2020-05-25 00:04 SunsetR 阅读(1450) 评论(0) 推荐(1) 编辑
2020年5月21日
【逆向】利用IDA远程调试与内存快照识别动态函数调用
摘要: 前言 简单记录下IDA远程调试功能使用,然后用一个小Demo演示下利用内存快照功能记录动态函数调用与变量的方法。 环境 物理机:调试主机(Windows、Linux、Mac)虚拟机:被调试主机(Windows、Linux、Mac) 步骤 1、根据被调试主机系统版本,拷贝IDA根目录“\dbgsrv” 阅读全文
posted @ 2020-05-21 20:50 SunsetR 阅读(757) 评论(0) 推荐(2) 编辑
2020年5月9日
【逆向】病毒木马常用API函数功能参数详解
摘要: 算法 https://www.cnblogs.com/dspeeding/p/3338129.htmlhttp://blog.sina.com.cn/s/blog_9cd8465f0102uy5d.html 1 // 获取CSP中特定密钥容器的句柄 2 BOOLEAN CRYPTFUNC Crypt 阅读全文
posted @ 2020-05-09 16:37 SunsetR 阅读(588) 评论(0) 推荐(0) 编辑
2020年5月3日
【逆向】FakeNet-NG 下一代动态网络分析工具
摘要: 前言 FakeNet-NG是一款开源的动态网络分析工具,它可以对所有或特定的网络流量进行拦截和重定向。使用该工具,恶意软件分析人员可以快速识别恶意软件的功能并捕获网络签名。而渗透测试人员和漏洞研究员在使用它的可配置拦截引擎和模块化框架在测试应用程序的特定功能和原型Poc时也非常有用。 安装 Wind 阅读全文
posted @ 2020-05-03 17:01 SunsetR 阅读(844) 评论(0) 推荐(1) 编辑
2020年4月17日
【逆向】使用yarGen自动生成yara规则
摘要: 前言 yarGen是一款yara规则生成器,它可以从恶意软件中获取可疑字符串来创建yara规则,同时过滤掉正常的字符串。 下载安装 yarGen是一个开源项目,源代码以zip和tar.gz的形式提供,你可以在Github页面中进行下载。 使用以下命令安装所有依赖项 sudo pip install 阅读全文
posted @ 2020-04-17 21:46 SunsetR 阅读(1561) 评论(0) 推荐(2) 编辑
2020年4月9日
【逆向】GadgetToJScript-反序列化加载.NET程序
摘要: 前言 GadgetToJScript与之前介绍的DotNetToJScript一样都是一款可以将.NET程序封装到JS、VBS等脚本中执行的开源工具。其区别在于GadgetToJScrip修改了反序列化调用链,它能够绕过AMSI,并添加了绕过.NET4.8与阻止Assembly.Load的功能。 项 阅读全文
posted @ 2020-04-09 21:15 SunsetR 阅读(1191) 评论(0) 推荐(2) 编辑
2020年4月8日
【逆向】Yara规则编写安装与使用教程
摘要: 前言 Yara是一个能够帮助恶意软件研究人员识别和分类恶意软件样本的工具(类似正则表达式)。规则可以通过文本或二进制的模式被创建,并且每个规则均由一组字符串和一个布尔表达式组成。 1 //示例规则 2 rule Test : Trojan 3 { 4 //规则描述 5 meta: 6 author 阅读全文
posted @ 2020-04-08 17:15 SunsetR 阅读(4568) 评论(1) 推荐(3) 编辑
2020年4月3日
【逆向】DotNetToJScript-反序列化加载.NET程序
摘要: 前言 最近分析了一个html的样本,其中JS代码是用开源工具"DotNetToJScript"生成的,其主要功能就是通过反序列化加载执行.NET程序,所以这里对"DotNetToJScript"工具做个简单记录。 项目结构 DotNetToJScript(主项目) ExampleAssembly(测 阅读全文
posted @ 2020-04-03 20:15 SunsetR 阅读(1636) 评论(1) 推荐(2) 编辑
2020年2月19日
【逆向】Base64编码解码及逆向识别
摘要: 序言 Base64编码解码原理相关内容,可以参考之前写的文章。 示例代码 注意:该示例代码仅为Base64编码实现的其中一种,实际分析样本的Base64编码实现并不一定与此代码相同,读者应重点理解其原理部分,而忽略其实现形式的不同。 1 // Base64.cpp : 定义控制台应用程序的入口点。 阅读全文
posted @ 2020-02-19 23:36 SunsetR 阅读(1996) 评论(0) 推荐(2) 编辑
2020年2月17日
【逆向】x86汇编串操作指令集合
摘要: 重复前缀 REP //CX != 0,重复执行字符串指令 REPZ / REPE //CX != 0,且ZF=1,相同时,重复执行字符串指令 REPNZ / REPNE //CX != 0,且ZF=0,不同时,重复执行字符串指令 方向标志位 CLD //置DF=0,EDI ++ STD //置DF= 阅读全文
posted @ 2020-02-17 00:33 SunsetR 阅读(538) 评论(0) 推荐(0) 编辑
2020年2月15日
【逆向】MFC消息映射定位与识别
摘要: 前言 消息映射是MFC内建的一个消息分发机制,只要利用数个宏以及固定形式的写法,就可以让Framework知道,一旦消息发生,该如何调用对应的消息处理函数。通俗来讲就是通过宏等技术手段,建立一个消息映射表,将每个窗口下的消息与消息处理函数用类似Map容器的方式进行一一对应。 数据结构 AFX_MSG 阅读全文
posted @ 2020-02-15 00:21 SunsetR 阅读(724) 评论(0) 推荐(2) 编辑
2020年2月6日
【逆向】PowerShell命令基础
摘要: 前言 个人理解PowerShell就是cmd的升级版,它本身包含了cmd的命令,又在其基础上加入了.NET Framework的强大功能。(其它背景请自行百度) 工具 PowerShell+ISE 命令介绍 PowerShell命令基本以(“动词-名词”)的形式组成。例如(“Get-Command” 阅读全文
posted @ 2020-02-06 21:13 SunsetR 阅读(471) 评论(0) 推荐(0) 编辑