goabout2

摘要： 前段时间收到locky样本，分析之后遂做一个分析。 样本如下所示，一般locky勒索的先决条件是一个js的脚本，脚本经过了复杂的混淆，主要用于下载该样本文件并运行，。 解密 样本本身进行了保护，通过ida打开之后只有少量几个函数，如下图所示为样本的入口地址，代码进行了重度的混淆加密。 通过od加载样 阅读全文

摘要： 前言 前段时间说要写的一个专杀框架敌敌畏，后改为强撸敌敌畏，以彰显样本查杀时的气势，现在第一版已经完成了，如下图所示，使用的时候强烈建议控制台使用放大模式，这样就可以看见我花了半天才画好了logo ，你可以在https://github.com/goabout2/VirusAnti_didiwei上 阅读全文

摘要： 之前接到的一个智能设备上发现的样本，抓捕非常不易，由于该样本是sh4指令集的遂记录一番。 样本运行之后首先进行一些初始化， Main函数 首先调用getIp，在该函数中完成网络测试，获取本地ip，mac，和路由表，具体如下： 通过函数getsockname获取ip。 通过读取/proc/net/ro 阅读全文

摘要： 前段时间的一次样本，需要给出专杀，应急中遇到的是linux中比较常见的两个家族gates和xor。首先是xor的专杀脚本，xor样本查杀的时候需要注意的是样本的主进程和子进程相互保护(详见之前的xor ddos分析http://www.cnblogs.com/goabout2/p/4888651.h... 阅读全文

摘要： 最近接手的一个样本，样本中使用了大量的xor加密，由于本身样本不全，无法运行（好吧我最稀饭的动态调试没了，样本很有意思，以后有时间做票大的分析），这个时候就只好拜托idapython大法了（当然用idc也一样），期间遇到几个问题，遂记录一番。样本加密的字符如下，很简单，push压栈之后，反复调用su... 阅读全文

摘要： 逆向分析之后我们通过ida对该样本进行更深入的分析样本的main函数中，一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密，如下图所示。而函数dec_conf中实际调用了encrypt_code函数进行实际的解密，解密的操作为按位进行xor操作。以此可以通过脚本对样本中的字符解密，解... 阅读全文

摘要： 样本行为该样本为国庆期间接到的一个应急，发现为今年比较流行的xorddos，遂分析一番。运行之后，查看进程，可以发现可疑进程ydxrooqtno，以及ppkzkneour。多次运行发现除了ydxrooqtno之外，其余进程的id，名称一直在改变。查看该进程镜像，可以看到该进程的文件镜像在/usr/b... 阅读全文

摘要： 继续之前hackteam的flash漏洞，这次的对象为cve-2015-5199,遂做一下记录。首先，在该exp中TryExpl函数为漏洞的触发函数，该函数也为本次调试的主要对象，函数的开始首先创建两个Array对象a和_gc.此处对Array函数下断，对象断在array。函数返回之后a array... 阅读全文

摘要： HackTem爆出的第二枚0day，分析了下，做个记录。Poc中一开始会分配一个Array类型的_ar结构。第一次赋值此时在a[0 ] –a[1e-1] 处已被赋值为Vector.(62)结构。任意查询可发现给vector的长度已被赋值为62生成的array 0~1e之后对1e~7e间的ar[i]进... 阅读全文

摘要： 上月29号数字发布名为海莲花”APT报告：攻击中国政府海事机构的网络空间威胁的apt报告，遂对该攻击样本进行了一番分析。整 个样本的整体行为如上图所示，样本的通常为一个图标为word的exe程序，点击之后样本会释放出形如XXXX.tmp的文件并运行，该文件首先会释放一 个正常的doc文件运行，用以迷... 阅读全文