随笔分类 - pc安全
摘要:🙃前言 在恶意软件对抗中,经常遇到字符串自解密函数,并且大部分使用的频率还不低。如果算法是基本的f(a) = b模式的话,可能首先想到的是动态调试拿解密后字符串,但是这样效率很低。🌚 或者使用ida pyhton来本地写出解密方案,再通过一层层寻找解密相关的传参指令找到需要的input。这种方法
阅读全文
摘要:这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~ 可以关注一下gzh TIPFactory情报工厂
阅读全文
摘要:https://mp.weixin.qq.com/s?__biz=MzkyMjM0ODAwNg==&mid=2247483824&idx=1&sn=d8fa49492b52d0b469fd9d8e0c80799a&chksm=c1f4f139f683782f5c70aceaddf98d196a962
阅读全文
摘要:目标 这篇文章旨在提供一个路线图和示例,说明如何复制故障注入攻击以及尝试这样做时可能出现的障碍和缺点。此外,通过概述复制其中一种攻击的过程, 但在深入探讨所有这些之前,让我们简要回顾一下什么是故障注入 (FI)。 故障注入简介 故障注入涉及引入足够小的错误/修改以在目标上导致未定义的行为,但不足以阻
阅读全文
摘要:写在前面: 这个病毒作者已经公开了私钥,解密工具也制作出来了,我就当是学习逆向对整个病毒进行分析一下。 虚拟机环境:win10x64 网络状态:飞行模式(因为不知道会不会内网感染) 病毒样本放在百度网盘了,在后面有下载链接。 勒索复现: 下载之后有三个文件,一开始我以为运行exe就会完蛋,但是想的太
阅读全文
摘要:程序流程比较清晰,输入的name先进行位数判断,再进行主要判断sub_401380函数: if ( v4 - 1 < 3 || v4 - 1 > 20 ) // name判断 { sub_411A90(aBadName); result = -1; } else { sub_411A90(aEnte
阅读全文
摘要:1. CreateRemoteThread 本文参考前辈的文章https://www.cnblogs.com/wf751620780/,对原理有了很大了解 首先CreateRemoteThread函数的原型如下,它很像CreateThread函数。不同的是,前者是远程创建线程,后者是在自己的进程下创
阅读全文
摘要:静态修改PE的IID增加DLL比较繁琐,而且直接操作十六进制数据容易出错。另一方面如果程序有检查是否被dll注入的机制也会报错,那么可以在创建进程初期就在内存里面,对目标的程序注入DLL,原理和在文件内操作都是一样的。 找一个64位的程序作为目标,看一下导入表结构: 然后目标是插入一个无用的DLL让
阅读全文
摘要:IAThook的原理学习帖子有很多,我需要复现一下几个基本概念先: 1. PE结构下IID数组相关指针(放假太久都快忘了各个指针位置了) 这个之前我写过简单的分析工具,参考:https://bbs.pediy.com/thread-255851.htm 结构总览: 2. 主要思路: 虽然r3层的钩子
阅读全文
浙公网安备 33010602011771号