开开心心写

恶意代码分析实战

ACM - dp(1) ACM - 二分(8) ACM - 数学(1) ACM - 矩阵(1) ACM-线段树(1) ACM题解(245) Android(3) angr(3) Crypto(5) CTF之旅(84) Linux(8) pwn(1) python(6) reverse(3) ubuntu(1) Windows(4) 大作业(1) 数学(4) 数据结构专题班(15) 未归档(4)

/ 注册

全部文章 / 恶意代码分析实战（共43篇）

恶意代码分析实战Lab1302

main -> 1851 -> 1070，181F，1000 碰到了好多不认识的WINAPI函数 GetSystemMetrics：该函数只有一个参数，称之为「索引」，这个索引有75个ID，通过设置不同的标识符就可以获取系统分辨率、显示区域的宽度和高度、滚动条的宽度和高度等。来自...

2020-05-03

0 494

恶意代码分析实战Lab1303

这个题的加密算法第一眼看上去很复杂，试试从字符串找特征猜测：更换后的BASE64加密，与URL进行交互 main -> 401AC2 -> WSASocket（TCP连接） -> 连接成功调用4015B7，否则return 1（报错）　　BOOL CreatePipe(...

2020-05-03

0 511

WINDOWS网络API总结

一：WinSock API WSAStartup，getaddrinfo，socket，connect，send，recv，WSAGetLastError 二：WinINet API InternetOpen：初始化一个应用程序，以使用 WinINet 函数 InternetConnect：建立 ...

2020-05-03

0 652

恶意代码分析实战Lab1401

401000是典型的BASE64 4010BB：发现这个函数就是调用了BASE64对字符串进行加密隐藏 4011A3：然后根据v3的值是否为0：根据msdn： Downloads data into the Internet cache and returns the file nam...

2020-05-03

0 567

恶意代码分析实战Lab1402

提示：为了阻止恶意代码破坏系统，恶意代码已经被配置向一个硬编码的回环地址发送信令，但是可以认为其是一个硬编码的外部地址 LoadString：这个成员函数是在调用String Table里面定义的信息，也就是说，把String Table中的字符串读出来到对象里 CreateEvent：产生事件对象...

2020-05-03

0 445

恶意代码分析实战第15章 - 对抗反汇编

对抗反汇编，在很大程度上就是运用花指令技术，使得IDA的强大F5功能失效，在只能静态分析时让代码显得乱七八糟，没有头绪，将知识点总结如下用IDA python对指令进行NOP替换 import idaapi idaapi.CompileLine('static n_key() {RunPytho...

2020-05-03

0 658

恶意代码分析实战Lab1501

IDA大法中有这个功能：Options - Generals 就可以看到字节码了根据书中介绍，这就是E8字节的花指令大法，总共用了4次，我们都patch一下保存成功把红色的“错误”都去掉之后，来分析逻辑代码中多次出现jnz short loc_40105E 所以很明显这里是字...

2020-05-03

0 335

恶意代码分析实战Lab1502

4102386：隐藏字符串的姿势之一：把字符串的赋值改成一个一个字符赋值这样在strings中就看不到了在main中，出现了一个红色调用：在OD中明显可以看到：在分析函数功能的时候看到了这个：这个用patch E8字节的方法不太对，所以就选择单步调试下它的参数 s = &quo...

2020-05-03

0 433

恶意代码分析实战Lab1503

CreateToolHelp32Snapshot：可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。说到底，可以获取系统中正在运行的进程信息，线程信息等 Thread32First，Thread32Next：用来遍历每一个线程 Module32Fir...

2020-05-03

0 458

恶意代码分析实战Lab1602

感觉这个程序原来分析过一次，很相似目的是得到一个长度为4的pw IDA中逻辑非常清晰，在CreateThread中对数据byte_408030进行修改然后v5作为判断标志在这儿下断看数据就好~ （然后用OD下断看不到，结合本章知识点猜想是有反调试器的手段）在函...

2020-05-03

0 623