开开心心写

恶意代码分析实战

ACM - dp(1) ACM - 二分(8) ACM - 数学(1) ACM - 矩阵(1) ACM-线段树(1) ACM题解(245) Android(3) angr(3) Crypto(5) CTF之旅(84) Linux(8) pwn(1) python(6) reverse(3) ubuntu(1) Windows(4) 大作业(1) 数学(4) 数据结构专题班(15) 未归档(4)

/ 注册

全部文章 / 恶意代码分析实战（共43篇）

恶意代码分析实战Lab0903

首先动静态结合分析程序跑起来会发现调用了3个DLL，用IDA先来看看main 简单猜想DLL1Print()是调用了DLL1，DLL2Print()是调用了DLL2 这里的extrn：说明这个函数是由外部实现的，这里是直接的外部调用（extern）调用DLL3Print()函数是采用的不...

2020-05-03

0 429

恶意代码分析实战Lab09补充

按照题的标号来的，先从书中找，然后贴网上Writeup的学习历程 Lab0901 -in : 安装； -c ：更新配置； -cc ：打印配置； -re：删除因为自己都是猜的，没有调试出来过，只知道密码是abcd，且没有成功安装和运行程序在地址4026cc处，打开了一个服务管理器，basena...

2020-05-03

0 563

恶意代码分析实战Lab1001

用IDA分析下exe 啊哈问题1：注册表操作书上提示说是用Procmon，其实用regshot来对比可能更直观吧啊哈问题2：ControlService调试问题3：程序功能啊哈啊哈啊哈

2020-05-03

0 381

恶意代码分析实战Lab1101

双机调试一直出了不晓得为什么的问题，导致第十章的东西一直不晓得怎么调试先往后走一章，windbg之后再补习好了 IDA分析该程序 main中的重要函数有两个，分别是401080和401000 分析401080函数：第一眼看到的是FindResource的API调用，该函数确定指定模块中指定...

2020-05-03

0 565

恶意代码分析实战Lab1102

打开ini文件，看到一个字符串，明显是加密过的，很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下，该dll才可以正确运行 100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数：合理...

2020-05-03

0 401

恶意代码分析实战Lab1103

把当前目录下的dll复制一份到system32系统目录接着开启了服务名称叫做：cisvc 分析401070：新建一个文件，可能还有其他的判断标志接下来分析dll DllEntryPoint没什么特别 Dllmain直接return 1 这个导出函数创建了一个线程，并且调用了Sta...

2020-05-03

0 459

恶意代码分析实战Lab1201

分析exe：先看看psapi.dll这个是不是系统dll：系统进程状态支持模块这里可能是对explorer.exe的监听动态运行：每割一段时间会弹框在dll中发现：每隔一分钟会弹框一次用procexp分析explorer.exe，发现是个DLL注入 RESTART...

2020-05-03

0 381

恶意代码分析实战Lab1202 Lab1203

从系统目录下对svchost.exe做操作在4010EA中发现：运行：拖入cmd运行，把cmd顺手都给关掉了分析到这里，发现五个题目一个都解决不了，说明还有好多细节点没有分析到但是，注意到exe同目录下，生成了一个practicalmalwareanalysis.log的文件，打开：...

2020-05-03

0 440

恶意代码分析实战Lab1204

GetModuleBaseName：获取文件进程完整路径 EnumProcesses：检索进程中的每一个进程标识符。带三个参数，DWORD 类型的数组指针 lpidProcess；该数组的大小尺寸 cb；以及一个指向 DWORD 的指针 pBytesRrturned，它接收返回数据的长度。DWORD...

2020-05-03

0 543

恶意代码分析实战Lab1301

调用关系：main -> 401300 -> FindResource，LoadResource，401190 其中401190：有个xor解密！ Resource Hacker保存，再用winhex修改数据得到如下字符串：得到URL后，调用函数4011C9 4010B1： ...

2020-05-03

0 349