开开心心写

恶意代码分析实战

ACM - dp(1) ACM - 二分(8) ACM - 数学(1) ACM - 矩阵(1) ACM-线段树(1) ACM题解(245) Android(3) angr(3) Crypto(5) CTF之旅(84) Linux(8) pwn(1) python(6) reverse(3) ubuntu(1) Windows(4) 大作业(1) 数学(4) 数据结构专题班(15) 未归档(4)

/ 注册

全部文章 / 恶意代码分析实战（共43篇）

UPX脱壳

工具： OD（Ollydump插件），PEID，LordPE，ImportReconstructor 脱壳源文件：恶意代码分析实战第一章课后实验01-02.exe 先使用PEID查壳：可以发现是UPX的壳 UPX的壳有几种很方便的脱壳方法脱壳的基本思路：找到OEP，恢复I...

2020-05-03

0 1010

UPX脱壳(2)

很多壳是没法用Ollydump弄好的，所以需要用其他的工具这里的工具是：PETools和Import REConstructor 先按照UPX脱壳的方法，找到OEP 现在已经到达了OEP 用PETools来实现程序的DUMP 找到对应的程序，完整转存，保存好久可以运行了~~...

2020-05-03

0 437

FSG脱壳

在网上找几个unpackme来训练 FSG1.31的壳先F12让程序暂停，然后使用SFX法 Ctrl+F2重启，然后F9！ SFX脱壳大法好~ 这里就是OEP了，55 8B EC其实就是在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属...

2020-05-03

0 802

恶意代码分析实战Lab1

0101分析这里可以查看到时间戳如上图，使用PEiD可以侦测壳，发现这个DLL和EXE都是无壳的，VC++6.0编译的接着使用IDA对代码进行简单的静态分析先分析DLL： OpenMutex和CreateMutex说明是多客户端 CreateProcess说明...

2020-05-03

0 706

恶意代码分析实战Lab0301

先查壳看到PEncrypt 3.1 Final -> junkcode的壳，没见过。上次下载的万能脱壳机脱不下来这个于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程，链接底下也有demo下载...

2020-05-03

0 947

恶意代码分析实战Lab0302

同样先查壳然后查看字符串接下来使用IDA进行分析，因为是未加壳的代码，程序功能可以很轻松的通过程序逻辑以及调用的API函数来分析 10003415函数块分析看到这些关键函数就知道了功能的首先，InternetOpen，InternetConnect是使用HTTP...

2020-05-03

0 391

恶意代码分析实战Lab0303

这个照例还是先查壳，VC++6.0的然后使用IDA静态分析Imports和Exports，对几个关键函数进行简单静态分析问题1：使用工具Process Explorer监视根据问题的提示，打开Process Explorer，双击运行程序，发现了这个在程序运行时，调用了svc...

2020-05-03

0 756

恶意代码分析实战Lab0304

首先查壳，VC++ 静态分析IDA 函数402020分析：从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串，从而查看引用来到402020 可见，这个函数相当于恶意代码的menu模块，提供了上传、下载、远程cmd、休眠sleep等功能当开发者把功能写得非...

2020-05-03

0 534

恶意代码分析实战Lab0501

问题1：DllMain的地址地址是1000D02E 问题2：使用Imports窗口浏览到gethostbyname，导入函数定位到什么地址地址是100163CC 问题3：有多少函数调用了gethostbyname 问题4：在位于0x10001757处对于gethostbyname的...

2020-05-03

0 406

恶意代码分析实战Lab0501补充

首先是网上的分析writeup： https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/ PSLIST：检测操作系统平台为VER_PLATFORM_WIN32_NT；操作系统版本不低于wind...

2020-05-03

0 419