开开心心写
开开心心写
全部文章
恶意代码分析实战
ACM - dp(1)
ACM - 二分(8)
ACM - 数学(1)
ACM - 矩阵(1)
ACM-线段树(1)
ACM题解(245)
Android(3)
angr(3)
Crypto(5)
CTF之旅(84)
Linux(8)
pwn(1)
python(6)
reverse(3)
ubuntu(1)
Windows(4)
大作业(1)
数学(4)
数据结构专题班(15)
未归档(4)
归档
标签
去牛客网
登录
/
注册
开开心心写的博客
全部文章
/ 恶意代码分析实战
(共43篇)
恶意代码分析实战Lab0601
问题1:main调用的子过程的代码结构 就一行代码,if语句的判断,当401000函数返回非0,main返回1;401000函数返回0,main返回0 问题2:40105F子过程分析 刚才main中的分析,跟踪到401000函数 啊函数使用局部变量v1,调用API函数InternetGetCo...
2020-05-03
0
424
恶意代码分析实战Lab0602
问题1:main调用的第一个子过程 问题根据函数调用逻辑关系,main中第一个子过程是401000,第二个子过程是401040。 401000的操作:InternetGetConnectedState:判断当前机器是否连接互联网 问题2:位于40117F的子过程 401000的操作40117F函...
2020-05-03
0
340
恶意代码分析实战Lab0603
问题1、2、3、4:分析main函数 多的函数是401130 使用的参数是lpExistingFileName,a1是一个标记变量,以switch为分类进行操作 根据不同的API函数功能,a1不同取值 a1=‘a’:创建新目录 a1=‘b’:复制文件 a1=‘c’:删除文件 a1=‘d’:注...
2020-05-03
0
373
恶意代码分析实战Lab0604
问题1、2:分析main函数 多的结构是for循环。表示多次重复探测 问题3:解析HTML的函数 并没有看出什么区别…… 问题4:程序运行的时间 根据main中循环变量 i 跑了1440次。当v5 = 1时,即401040函数返回1时,函数每次都会sleep60s也就是1分钟,所以程序会在线...
2020-05-03
0
383
恶意代码分析实战Lab06补充
Lab0601补充 https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-6-1/ Lab0602补充 Buffer是读取文件的缓冲区,根据 if 语...
2020-05-03
0
439
恶意代码分析实战Lab0701
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数 问题1:如何实现持久化驻留 程序运行过程中,会开启一个名为MalService的服务 运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧 问题2:程序的互斥量...
2020-05-03
0
457
恶意代码分析实战Lab0702
动态运行程序行为:自动打开了网页:www.malwareanalysisbook.com/ad.html 静态分析使用IDA 标红线的这两个API是针对COM(组件对象模型)进行的操作 不清楚IDA对于CLSID和IID格式的解读,在systemlookup网址没有查询到对应的 查看对应的stri...
2020-05-03
0
487
恶意代码分析实战Lab0703
动静态结合分析过程 特征字符串:kernel32和kerne132(注意是小写字母l和数字1) 程序在运行的时候要带一个参数运行~常量字符串~ 这里CreateFile的功能是打开某个目录下的文件 看到main的最后几行代码,调用了函数4011E0,且参数是C:\* IDA对4011E0的分...
2020-05-03
0
460
恶意代码分析实战Lab0901
和0304是同一个程序,下面是自己当时对0304的分析 http://blog.csdn.net/kevin66654/article/details/79250908 从IDA里分析main 先分析多次重复出现的402410 ¶meters是由三部分字符串连接而成的 aCD...
2020-05-03
0
549
恶意代码分析实战Lab0902
首先动静态结合分析程序 首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征 在IDA中的main可以找到这个 这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的 另一个是ocl.exe。那不妨先运行下程序,看内存中会不会释放出ocl.e...
2020-05-03
0
483
首页
上一页
1
2
3
4
5
下一页
末页
牛客博客,记录你的成长
京公网安备 11010502036488号