摘要: lnk lnk在Windows平台下是快捷方式,可以指向其他目录下的文件,并且可以传递参数。现在有些恶意活动会恶意利用lnk,执行恶意代码。 关于lnk的格式,可以使用010 editor的模板功能,快速识别。 如果鼠标右键创建快捷方式,可以在目标中输入执行的命令,但是字符串最长为260字节。 可以 阅读全文
posted @ 2020-08-19 22:43 Bl0od 阅读(394) 评论(2) 推荐(0) 编辑
摘要: NTFS Alternate Data Stream(ADS) 1993年微软推出了基于流行的NT平台的Windows NT操作系统。之后,NTFS作为WIndows开发基于NT的操作系统时的首选文件系统,逐步取代被应用于旧版Windows操作系统(比如Windows 9x)的文件系统,即FAT(F 阅读全文
posted @ 2020-08-07 23:49 Bl0od 阅读(473) 评论(0) 推荐(0) 编辑
摘要: 介绍 重启管理器API可以消除或是减少在完成安装或是更新的过程中系统需要重启的次数。软件安装或是更新过程之所以需要重启系统的原因在于一些需要更新的文件正在被运行中的程序或服务使用。而重启管理器可以关闭或重启除了关键系统服务之外的所有程序和服务。 重启管理器DLL导出了一些可以被标准或是自定义的安装包 阅读全文
posted @ 2020-08-04 23:18 Bl0od 阅读(418) 评论(0) 推荐(0) 编辑
摘要: CreateEvent进程间同步 CreateEvent可以创建或是打开一个命名或是未命名的event对象。 HANDLE CreateEvent( LPSECURITY_ATTRIBUTES lpEventAttributes**,** // pointer to security attribu 阅读全文
posted @ 2020-04-19 17:57 Bl0od 阅读(356) 评论(0) 推荐(0) 编辑
摘要: 1. Go语言二进制程序分析 在分析一些使用GOlang语言进行编译的恶意程序时,由于程序在被打包成二进制程序时会打包诸多引用的库,并且作者对二进制程序进行了去符号化,导致在动态或是静态分析时函数过多而不便于跟踪。 而如果GO编译成的二进制程序并未进行去符号化,那么在IDA中进行分析时,几乎可以相当 阅读全文
posted @ 2020-04-19 15:36 Bl0od 阅读(540) 评论(0) 推荐(0) 编辑
摘要: IDA FLIRT/FLAIR FLIRT是IDA提供的一种函数识别技术,即 。这项技术使IDA能在一系列编译器的标准库文件里自动找出调用的函数,使反汇编清单清晰明了。比如说一个 库函数,反汇编出来可能就是 ,但是IDA可以通过FLIRT识别函数特征,从而标记该函数,并在反汇编窗口中显示为 ,大大增 阅读全文
posted @ 2020-04-19 00:52 Bl0od 阅读(793) 评论(0) 推荐(0) 编辑
摘要:   通过PEB的Ldr参数(结构体定义为_PEB_LDR_DATA),遍历当前进程加载的模块信息链表,找到目标模块。   摘自 "PEB LDR DATA" :   _PEB_LDR_DATA结构体中的 、`InMemoryOrderMod 阅读全文
posted @ 2019-08-27 22:18 Bl0od 阅读(915) 评论(0) 推荐(0) 编辑
摘要:   测试一下在IE浏览器界面中插入代码测试,采用寻找窗口的方式获取 句柄。   写的时候参考了很多网上的资料,有些地方不大适用就稍微修改了一下。 1. SendMessageTimeout函数一直无效(看网上有一回答说 可以正常使用,没试过),无效情况是执行成 阅读全文
posted @ 2019-08-22 23:43 Bl0od 阅读(931) 评论(0) 推荐(0) 编辑
摘要:   学习一下虚拟机检测的手段,在网上找了一些,练习一下,顺便学习一下涉及的其他知识。   但是由于现在虚拟机技术愈发大的发展,虚拟机检测技术作用也愈发的小了,然而学以致用,或许在其他方面有所帮助。 代码编辑时的配置:   UNICODE字符 阅读全文
posted @ 2019-07-14 15:37 Bl0od 阅读(577) 评论(0) 推荐(0) 编辑
摘要: 尝试编写代码获取PE文件的信息。 首先使用 打开一个PE文件并返回一个用于访问该对象的 。 然后调用 函数为该文件创建一个 ,此时为文件创建了一个视图,而并未将该视图映射进进程的地址空间,也就是尚未装载进入内存之中的意思吧。 Creating a file mapping object create 阅读全文
posted @ 2019-04-11 23:11 Bl0od 阅读(420) 评论(0) 推荐(0) 编辑