上一页 1 ··· 26 27 28 29 30 31 32 33 34 ··· 274 下一页
2022年10月7日
逆向工程核心原理——第二十七章 进程注入-代码注入
摘要: 官方源码地址: https://blog.kakaocdn.net/dn/buCuJU/btq2OpiKoTz/JIIGkCcw1xjLtsDt4yV5dk/%EC%86%8C%EC%8A%A4%EC%BD%94%EB%93%9C.zip?attach=1&knm=tfile.zip 虽然是韩语,但 阅读全文
posted @ 2022-10-07 22:06 bonelee 阅读(340) 评论(0) 推荐(0)
逆向工程核心原理——DLL注入
摘要: 逆向工程核心原理——第二十三章 虽然原版是针对win7 32位的 我自己使用vs2022 在win11 64位编译运行也是可以成功注入的 使用作者原版提供的代码,同时修改为64编译在我win7 64位的话也可以运行的 效果和win11同,也有一个debug窗口!修改为release模式编译即消除弹窗 阅读全文
posted @ 2022-10-07 20:32 bonelee 阅读(1364) 评论(0) 推荐(1)
2022年10月6日
恶意代码分析实战 shellcode分析 lab 19-1 19-2 19-3 整体来说 对汇编代码的分析要求较高 因为没法直接反编译为C代码看
摘要: Lab 19-1 ==》先申明下,因为缺失利用该shellcode的上下文,也就是漏洞利用的环境,所以分析起来非常蛋疼! 本次实验我们将会分析lab19-01文件。先来看看要求解答的问题 Q1.这段shellcode是如何编码的? Q2.这段shellcode手动导入了哪个函数? Q3.这段shel 阅读全文
posted @ 2022-10-06 21:35 bonelee 阅读(754) 评论(0) 推荐(0)
恶意代码分析实战 加壳与脱壳 lab 18-1 18-2 18-3 18-4 18-5 手动脱壳和自动脱壳操作
摘要: 脱壳存根 被加壳程序中的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节中。 脱壳存根执行了以下三步操作: 1. 将原始程序脱壳到内存中; 2. 解析原始可执行文件的所有导入函数; 3 阅读全文
posted @ 2022-10-06 18:43 bonelee 阅读(506) 评论(0) 推荐(0)
恶意代码分析实战 恶意代码的网络特征 lab14-1 14-2 14-3 都是http c2,并用到了自定义编码加密
摘要: 先反编译看看: 函数在做base64加密: 验证下想法,果然: 后面的功能,就是在下载执行了: 我们分析下细节: 问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: 发现一个HTTP的G 阅读全文
posted @ 2022-10-06 18:12 bonelee 阅读(453) 评论(0) 推荐(0)
恶意代码分析实战 数据加密 lab 13-1 13-2 13-3 常见base64 aes这些都是比较好解密的 实在不行还可以immunity dbg打断点写py脚本解密
摘要: Lab13-1 整体功能:向远程主机发送本机gethostname信息,该信息通过base64加密,远程请求的主机域名也被xor加密。 看下代码反编译的情况: 下面函数是从资源文件里提取加密的:www.practicalmalwareanalysis.com 使用了简单的xor加密: 接下来就是发送 阅读全文
posted @ 2022-10-06 12:34 bonelee 阅读(394) 评论(0) 推荐(0)
2022年10月5日
恶意代码分析实战 隐蔽的恶意代码启动 lab12-1 12-2 12-3 12-4 进程注入、进程替换、hook procmon监控os api调用不行 数据分析还是要sysmon
摘要: 一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 - 创建远程线程 (winxp有效,win7我没有运行成功,why?) 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被c 阅读全文
posted @ 2022-10-05 19:45 bonelee 阅读(636) 评论(0) 推荐(0)
恶意代码分析实战 恶意代码行为 Lab11-1 11-2 11-3
摘要: 恶意代码分析实战Lab11-恶意代码行为 从本章开始,会见识各种恶意行为 笔记 下载器和启动器 下载器用来将恶意代码下载下来进行执行;启动器用来秘密加载恶意代码 后门(Backdoor) 后门程序往往实现了全套功能,不需要额外下载功能代码,有一套通用功能:注册表操作、文件操作等 反向Shell:从目 阅读全文
posted @ 2022-10-05 14:52 bonelee 阅读(1243) 评论(0) 推荐(0)
2022年10月4日
恶意代码分析实战 windbg恶意软件分析 lab 10-3 通过rootkit隐藏恶意进程 这玩意要玩得很6的话 还是要对windows内核编程非常熟才行
摘要: 问题 1.这个程序做了些什么? sys里面反编译看到的: 从静态分析初步看,应该是sys rootkit方式注册的服务来运行恶意代码,sys里会删除什么东西。 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 实际运行, 阅读全文
posted @ 2022-10-04 22:47 bonelee 阅读(320) 评论(0) 推荐(0)
恶意代码分析实战 windbg内核恶意代码分析 lab 10-1 10-2(通过rootkit隐藏文件) 有时windbg会卡死 一直busy GG EDR检测rootkit暂无思路
摘要: Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 阅读全文
posted @ 2022-10-04 15:11 bonelee 阅读(909) 评论(1) 推荐(0)
上一页 1 ··· 26 27 28 29 30 31 32 33 34 ··· 274 下一页