随笔分类 -  逆向分析

摘要：0x00 前言这个病毒应该是比较简单的，别人给我的样本，让我帮忙看看，看样子是很早的一个病毒，针对Windows XP系统的，行为分析很简单，但是想着不能就仅仅分析关键点，要不就把整个结构给逆向出来，弄了两天，搞的差不多了，简单的记录一下。0x01 基本介绍整个病毒是4个文件组成：27.exe，27... 阅读全文

摘要：0x01 基本介绍 AsmJit是一个完整的JIT(just In Time, 运行时刻)的针对C++语言的汇编器，可以生成兼容x86和x64架构的原生代码，不仅支持整个x86/x64的指令集（包括传统的MMX和最新的AVX2指令集），而且提供了一套可以在编译时刻进行语义检查的API。AsmJit的 阅读全文

摘要：0x00 前言静态反汇编之王，毫无疑问就是Ida pro，大大降低了反汇编工作的门槛，尤其是出色的“F5插件”Hex-Rays可以将汇编代码还原成类似于C语言的伪代码，大大提高了可读性。但个人觉得“F5插件”只能作为一项辅助手段，在结合动态调试和静态分析之后，了解了整个函数的流程再利用F5看“C语言... 阅读全文

摘要：是由获得进程模块而引发的一系列的问题，首先，在ring3层下枚举进程模块有ToolHelp,Psapi,还可以通过在ntdll中获得ZwQuerySystemInformation的函数地址来枚举，其中ZwQueryInformationProcess相当于是调用系统服务函数，其内部实现就是遍历PE... 阅读全文