恶意代码分析

恶意代码分析实战 第七章 分析恶意Windows程序

WindowsAPIWindows总体上使用匈牙利表达法作为API函数标识符,表达式使用前缀命名模式,一个32位无符号整数的变量或者DWORD,会以dw开头。WindowsAPI常见类型见下图windows_api.png句柄句柄是在操作系统中被打开或被创建的项(一个窗口,进程,模块,菜单,文件等)句柄不能用来做数学操作我们所能做的只有保存它,并在后续函数调用中使用它来引用同一个对象文件系统函数恶
doinb1517·2021-12-28 17:28

恶意代码分析实战 第六章 识别汇编中的C代码结构

全局和局部变量全局变量可以被一个程序中的任意函数访问和使用局部变量只能在它被定义的函数中访问在反汇编代码中:全局变量通过内存地址引用局部变量通过栈地址引用代码清单6-1:两个全局变量#includeintx=1;inty=2;voidmain(){x=x+y;printf("total=%d",x);}代码清单6-2:两个局部变量#includevoidmain(){intx=1;inty=2;x
doinb1517·2021-12-27 17:20

恶意代码分析实战 第十八章 加壳与脱壳

打包程序,也称为加壳器,他们能够对反病毒软件,复杂的恶意代码分析过程隐藏恶意代码的存在,另外能缩小恶意代码可执行文件的大小。
doinb1517·2021-12-27 17:12

每日一书|iOS和macOS安全宝典来袭

iOS和macOS的系统原理与逆向基础,以及由此展开的漏洞分析挖掘与恶意代码分析检测,一直是安全技术里一个独特有魅力的领域,也是一个值得投入的领域。
《新程序员》编辑部·2021-11-22 08:00

恶意代码分析实战6-3

本次实验分析lab06-03.exe,需要回答如下问题Q1比较在main函数与6-2的main函数的调用。从main中调用的新的函数是什么Q2这个新的函数使用的参数是什么Q3这个函数包含的主要代码结构是什么Q4这个函数能够做什么Q5在这个恶意代码中有什么本地特征吗Q6这个恶意代码的目的是什么同样先载入peviewRegOpenKeyExA函数一般与RegSetValueExA一起用于往注册表中插入
Neil-Yale·2021-05-29 15:18

恶意代码分析实战18-3

本次实验我们将会分析lab18-4,lab18-5文件。将lab18-4载入peid可以看到是使用ASPack加壳的载入od第一条就是pushad我们单步步过pushad如下所示选中esp的值followindump然后下硬件断点执行后如下所示jnz指令的前一条是popad,我们知道跟在popad指令后面的应该是尾部跳转,尾部跳转可以将程序切换到oep运行。我们单步步过jnz在push指令后面看到
Neil-Yale·2021-05-29 15:03

恶意代码分析实战18-2

本次实验我们将会分析lab18-03文件。将lab18-3载入peview可以看到这个壳是PECompact载入od默认405130为入口点使用od的插件来查找oep结果如下插件猜测的oep起始位置在40a110但是这里的这些指令不像是oep。而且这里它访问的值在0040a115处的栈底指针上方,如果这个地址不是文件的入口点,那么栈底指针之上的任何数据都不会被初始化。使用另外一个插件选项结果如下暂
Neil-Yale·2021-05-29 15:29

恶意代码分析脑补

恶意代码分析可以用来编写出基于主机的和基于网
jngyuhn·2021-05-11 23:51

[译] APT分析报告:11.深入了解Zebrocy的Dropper文档(APT28)

这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助机翻进行校验,还请包涵!
Eastmount·2021-05-07 17:55

恶意代码分析第七章Lab-07-03实战分析笔记

首先我们通过静态分析发现该程序的导入表中有很多文件操作类函数。又在StringView中发现了Lab07-03.dll字符串,我们推断程序有可能调用了该动态库,但却没有发现任何loadlibrary或者getprocaddress函数。所以我们的推测可能是错的,他有可能并没有加载这个动态库。其中也出现了Kernel32.dll的完整路径。但还出现了一个Kerne132.dll的完整路径,很明显,这
看雪学院·2021-04-18 17:54

[译] APT分析报告:09.伊朗APT34更新武器库——SideTwist变体

这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助机翻进行校验,还请包涵!
Eastmount·2021-04-13 18:54

恶意代码分析5

准备工具:WireShark,Processexplorer,Processmonitorimage.png添加,确定image.png虚拟机进行联网,(运行程序)用PEID(发现其加过壳,输入表里面只有API,说明其是隐藏的)image.png查看其字符串列表,用Strings命令(有可能开了后门)image.pngimage.pngProcessmonitor中只保留注册表与文件的监控;操作i
bluewind1230·2021-03-11 12:30

恶意代码分析实战Lab1

第一章静态分析基础技术恶意代码分析实战恶意代码样本下载1.1反病毒引擎扫描1.2哈希值1.3查找字符串1.4加壳与混淆恶意代码1.5PE文件格式1.6链接库与函数1.7静态分析技术实战1.8PE文件头与分节
天天学姐_TianTian·2021-01-25 16:22

病毒分析教程第三话--静态逆向分析(下)

静态逆向分析(下)教程参考自《恶意代码分析实战》程序来自:http://www.nostarch.com/malware.htm使用上两话静态特征分析和动态行为分析的方法只能从宏观的角度分析样本,但由于无法得到源代码
G4rb3n·2020-09-17 14:02

IDA PRO :功能强大的恶意代码分析解决方案

恶意代码分析考虑到当今恶意代码的出现速度和复杂性,就需要一款功能强大的分析解决方案来积极应对。
哲想软件·2020-09-17 00:00

网络安全个人技能发展路线图

网络安全个人技能发展路线图摘自网络空间安全工程技术人才培养体系指南二进制方向逆向分析漏洞挖掘与利用恶意代码分析溯源取证web方向web安全网络渗透安全运维摘自网络空间安全工程技术人才培养体系指南两份文档可查找中国网络空间安全人才教育联盟公众号获取
useror·2020-09-14 20:00

Android物理按键监听以及恶意代码分析

一些常用物理按键电源键:KEYCODE_POWER电源键KEYCODE_BACK后退键KEYCODE_MENU菜单键KEYCODE_HOMEHOME键KEYCODE_CAMERA相机键KEYCODE_VOLUME_UP/KEYCODE_VOLUME_DOWM音量键KEYCODE_SEARCH搜索键KEYCODE_DPAD_CENTER确定键方向键KEYCODE_DPAD_UPKEYCODE_DPA
头发很多气不气·2020-09-14 19:10

病毒分析教程第七话--进程注入分析(中)

进程注入分析(中)教程参考自《恶意代码分析实战》程序来自:http://www.nostarch.com/malware.htmLab12-2&Lab12-3本节实验使用样本Lab12-02.exe。
G4rb3n·2020-09-14 19:19

静态分析基础技术

目录这是《恶意代码分析实战》一书第1章的笔记注意,文中的链接都有可能是恶意的,请勿随意点击1.反病毒引擎扫描1-1.VirusTotal2.哈希值2-1.md5deep2-2.WinMD53.查找字符串
afu42832·2020-09-14 18:02

二进制入门及静态分析基础

恶意代码分析实战》《0day安全:软件漏洞分析技术》《漏洞战争》fuzztest模糊测试PE文件格式PE文件(PortableExecutable)常见的可执行文件如.exe和.dll文件都是
西杭·2020-09-12 05:48

NF_Exp4_20164306

恶意代码分析1关键内容系统运行监控(1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
dengzhe4572·2020-09-11 01:06

FBI针对Tor网络的恶意代码分析

FBI针对Tor网络的恶意代码分析一、背景Tor(TheOninonRouter)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪。
思否编辑部·2020-08-24 13:23

PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)

目录前言1PE文件及其表现形式2PE文件格式与恶意软件的关系3PE文件格式的总体结构3.1PE文件原始数据3.2相关恶意代码分析工具3.2.1PE文件格式查看工具1-`PEView`3.2.2PE文件格式查看工具
猫咪钓鱼·2020-08-15 09:22

内核级木马与病毒攻防:windows恶意代码分析入门

本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理。本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一
tyler_download·2020-08-08 22:13

恶意代码分析实战 Lab19

lab19-011IDApro打开看到解码代码如下od调试的时候显示说无法作为及时调试器调试,所以只能用windbg,虽然麻烦了点解码后程序先跳到003a0464接着在464处,马上调用003a03bf函数步入查看程序又调用003a039e函数步入查看函数,这段函数很短,可以很容易看出来是在得到kernel32的base地址,看30h是的搭配peb结构地址,1ch是得到InInitializati
默守不成规·2020-08-08 14:01

恶意代码分析实战 Lab20

lab20-011sub_401040函数使用,参数this,用ecx来传递这个参数在sub_401040函数内部,也可以证实这点,而且URL就是上面的http://www.practicalmalwareanalysis.com/cpp.html可以看到程序非常简单,就在上面那个URL下载文件到c:\tempdownload.exeLab20-021注意字符串关键函数是sub_401000这个函
默守不成规·2020-08-08 14:29

恶意代码分析实战 Lab18

lab18-01第一个是upx加密这里我们手动脱壳,upx壳挺简单的,只要找到oep就行注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点,按f9就能快速到达popad最后的跳转jmp后地址就是正确oep了直接用ollydbg脱壳直接就脱壳成功了至于判断是之前的那个恶意代码也不难IDA打开看看就能大概记起来他是lab14
默守不成规·2020-08-08 14:29

恶意代码分析实战 Lab3

lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar
默守不成规·2020-08-08 14:29

恶意代码分析实战 Lab21

lab21-011lab09-02还记得话是需要改程序名才能正确运行,所以,程序不会发生什么额,我的IDApro识别出来main修改下面的jz位jmp其中r11是之前getmodulname得到的当前程序名,另一个由ocl.exe编码得到,windbg查看位jzm只有一个ecx图中只给出了9个参数的注释,还缺一个commandline参数,这个这个函数应该是创建cmd进程,所以rdx应该算是一个参
默守不成规·2020-08-08 14:29

恶意代码分析 Lab5

这一节完全是IDA的使用介绍1直接用IDAPro打开.dll文件,就直接来到Dllmain处,可以知道地址为0x1000D02E23要知道gethostbyname在WS2_32.dll就比较容易找到,而且注意是区分大小写的.这是小写,找到后双击到达输出表处,然后右键gethostbyname函数名选择Xrefsgraphto查看有多少函数调用它结果如图:五条线说明有五个函数调用他4在上题的输出表
默守不成规·2020-08-08 14:29

推荐信息安全书籍27本(含电子书)

【技术类——白帽子入门必看17本】Android软件安全与逆向分析Android安全攻防权威指南白帽子讲web安全恶意代码分析
anquanniu牛油果·2020-08-07 12:00

ADB源码分析(一)

在Android开发和恶意代码分析中,经常用到它的install、uninstall、push、pull、logcat、shell等命令。
feeling2012-2012·2020-08-03 00:33

勒索病毒分析报告

文章目录勒索病毒分析报告1.样本概况1.1样本信息1.2测试环境及工具1.3分析目标1.4样本行为概述2.具体行为分析2.1主要行为2.2提取恶意代码2.3恶意代码分析3.解决方案3.1提取病毒的特征,
初识逆向·2020-08-02 19:30

0x00

3,恶意代码分析技术动态分析&&静态分析(汇编语言、代码结构,Windows操作系统)4,恶意代码类型
十年后和自己的约会·2020-07-30 20:51

书评第004篇:《恶意代码分析实战》

:2014-4-1ISBN:9787121224683版次:1页数:704字数:1134000印刷时间:2014-4-1开本:16开纸张:胶版纸印次:1包装:平装定价:128.00元书籍封面内容简介《恶意代码分析实战
ioio_jy·2020-07-30 15:10

随想杂谈第一004一片:三的博客万人次突破

当中《恶意代码分析
weixin_34341229·2020-07-30 13:40

杂谈随想第004篇:博客访问量突破三万了

其中《恶意代码分析
ioio_jy·2020-07-30 13:26

如何绕过反调试技术——学习回顾(1)

反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调试的学
王大碗Dw·2020-07-29 12:56

恶意代码分析-第十八章-加壳与脱壳

目录笔记:实验:Lab18-1Lab18-2Lab18-3笔记:壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析解析函数导入表:1.仅导入LoadLibrary和GetProcessAddress两个函数。先脱出原始文件,再读取原始可执行文件的导入函数信息。2.保持原始导入函数表的完整,让Windows加载器加载所有的DLL及导入函数---->缺乏隐蔽性3.为原始导入表中的每个DLL保留一个导
每昔·2020-07-16 03:13

20155307《网络对抗》恶意代码分析

实验过程1、计划任务监控在C盘根目录下建立一个netstatlog.bat文件,内容如下:date/t>>c:\netstatlog.txttime/t>>c:\netstatlog.txtnetstat-bn>>c:\netstatlog.txt用schtasks/create/TNnetstat/scMINUTE/MO2/TR"c:\netstatlog.bat"指令创建一个任务,记录每隔两分
weixin_30439067·2020-07-10 06:42

恶意代码分析常见Windows函数

accept用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。AdjustTokenPrivileges用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数,来取得额外的权限。AttachThreadInput将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他间谍软件会使用这个函数。bind用来将一个本
weixin_30932215·2020-07-08 15:59

恶意代码分析必备知识

反病毒软件原理反病毒软件一般由扫描器、病毒库和虚拟机组成,并由主程序将它们整合为一体一般情况下,扫描器用于查杀病毒,是反病毒软件的核心。一个反病毒软件的效果好坏直接取决于扫描器的技术与算法是否先进病毒库中存储着病毒所具有的独一无二的特征字符,我们称之为“特征码”,而病毒库存储特征码的存储形式则取决于扫描器采用哪种扫描技术特征码可能存在于任何文件中,例如exe文件、dll文件、apk文件、php文件
Tag_sk·2020-07-08 03:21

恶意代码分析实战 Lab 11-1 习题笔记

问题1.这个恶意代码向磁盘释放了什么?解答:我们刚刚完成了Windows内核病毒的分析,包括了一些过时的RootKit技术的分析,现在我们回归二进制分析这里要分析的文件是Lab11-1这个文件,我们先做一些基本的静态分析我们先看KERNEL32.DLL这个导出DLL我们可以看到这里有个我们需要注意的CreateFileA导出函数,还有下面那个ExitProcess函数,我们找找看有没有Create
isinstance·2020-07-07 10:01

恶意代码分析 关于第三章 Lab03-1

实际分析过程中,由于processmonitor无法在WindowsXP系统下使用,故使用火绒剑作为替代工具环境VMware®Workstation15ProapateDNSProcessExplorerv16.21.Chs火绒剑StringsDependencyWalker准备工作安装相关软件保存快照网络模式为,仅主机模式预览要执行的实验文件为:该文件为随书文件静态分析查看字符串查看导入表启动监
哒君·2020-07-06 03:53

恶意代码分析_Lab01-02_静态分析

所谓无底深渊,下去,也是前程万里。-----木心文章目录Lab01-02.exe问题及分析:第一问第二问第三问第四问关键提示:引用Lab01-02.exe问题及分析:第一问将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?分析报告如下图:由上图可以得出该病毒具有一下特征:Trojan/Win32.Star
PA0·2020-07-05 09:29

APP测试学习笔记1--android恶意代码分析

1、android程序结构分析a)安卓系统结构,不同目录/system/data/cacheb)Android重要组件Activity显示界面;Service服务,后台运行ContenProvider内容提供商,应用程序共享的空间,实现数据保存和访问的操作。应用程序通过Intent共享小数据,大的文件等通过内容提供商。BroadCastReceiver广播接收器,实时查看系统状态、发出警报(电量、
Leo笑·2020-07-04 17:44

恶意代码分析实战 Lab9

lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe"一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方直
默守不成规·2020-07-04 11:48

恶意代码分析实战 第九章课后实验Lab09-02

问题1:在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。问题2:使用ProcessExplorer监控,运行程序后并没有发现什么。问题3:把Lab09-02.exe载入到ida和OD。在ida中发现main的地址是00401128,让后让OD跳转到此地址:首先看到了一大串的mov指令这是将字节移动到栈中的操作,出现了两个0,很明显是终止符。把这一长串的字符分成两部分。查看
Stronger_99·2020-07-04 08:02

恶意代码分析实战 安装INetSim在CentOS 7上

CentOS7安装INetSim注:博主对Perl不太熟,所以搜狗了半天(拒绝百度,从我做起)官方安装步骤inetsimdocumentation不过写的比较笼统,可以参考参考1.下载安装文件从这里下载一个源文件http://www.inetsim.org/downloads.html然后放入centos里面,解压,然后用root运行setup.sh发现报错Group'inetsim'doesno
isinstance·2020-07-02 04:06

恶意代码分析实战

安全技术大系恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典)【美】MichaelSikorski(迈克尔.斯科尔斯基),AndrewHonig(安德鲁.哈尼克)著诸葛建伟姜辉张光凯译
博文视点·2020-07-01 19:44
上一页 1 2 3 4 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他