开开心心写

分类

ACM - dp(1) ACM - 二分(8) ACM - 数学(1) ACM - 矩阵(1) ACM-线段树(1) ACM题解(245) Android(3) angr(3) Crypto(5) CTF之旅(84) Linux(8) pwn(1) python(6) reverse(3) ubuntu(1) Windows(4) 大作业(1) 恶意代码分析实战(43) 数学(4) 数据结构专题班(15) 未归档(4)

/ 注册

全部文章（共442篇）

恶意代码分析实战Lab0304

首先查壳，VC++ 静态分析IDA 函数402020分析：从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串，从而查看引用来到402020 可见，这个函数相当于恶意代码的menu模块，提供了上传、下载、远程cmd、休眠sleep等功能当开发者把功能写得非...

2020-05-03

0 622

第三届上海大学生网络安全大赛 junkcode writeup

这个题题目名字是junkcode，给人的第一反应是要去除花指令 ~ ~ ~ 其实做题的过程和花指令并没有半毛钱关系，只是干扰了IDA的使用，从而无法进行静态分析而已因为重点思路总是习惯性的放在了去花上，导致了其实很简单的算法，没有跟踪到数据的起始和目标节点，浪费了很多分析时间。首先运行，看到e...

2020-05-03

0 754

恶意代码分析实战Lab0501

问题1：DllMain的地址地址是1000D02E 问题2：使用Imports窗口浏览到gethostbyname，导入函数定位到什么地址地址是100163CC 问题3：有多少函数调用了gethostbyname 问题4：在位于0x10001757处对于gethostbyname的...

2020-05-03

0 498

恶意代码分析实战Lab0501补充

首先是网上的分析writeup： https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/ PSLIST：检测操作系统平台为VER_PLATFORM_WIN32_NT；操作系统版本不低于wind...

2020-05-03

0 509

恶意代码分析实战Lab0601

问题1：main调用的子过程的代码结构就一行代码，if语句的判断，当401000函数返回非0，main返回1；401000函数返回0，main返回0 问题2：40105F子过程分析刚才main中的分析，跟踪到401000函数啊函数使用局部变量v1，调用API函数InternetGetCo...

2020-05-03

0 424

恶意代码分析实战Lab0602

问题1：main调用的第一个子过程问题根据函数调用逻辑关系，main中第一个子过程是401000，第二个子过程是401040。 401000的操作：InternetGetConnectedState：判断当前机器是否连接互联网问题2：位于40117F的子过程 401000的操作40117F函...

2020-05-03

0 340

恶意代码分析实战Lab0603

问题1、2、3、4：分析main函数多的函数是401130 使用的参数是lpExistingFileName，a1是一个标记变量，以switch为分类进行操作根据不同的API函数功能，a1不同取值 a1=‘a’：创建新目录 a1=‘b’：复制文件 a1=‘c’：删除文件 a1=‘d’：注...

2020-05-03

0 373

恶意代码分析实战Lab0604

问题1、2：分析main函数多的结构是for循环。表示多次重复探测问题3：解析HTML的函数并没有看出什么区别…… 问题4：程序运行的时间根据main中循环变量 i 跑了1440次。当v5 = 1时，即401040函数返回1时，函数每次都会sleep60s也就是1分钟，所以程序会在线...

2020-05-03

0 382

恶意代码分析实战Lab06补充

Lab0601补充 https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-6-1/ Lab0602补充 Buffer是读取文件的缓冲区，根据 if 语...

2020-05-03

0 438

Windows注册表修改

有多种方法可以对注册表实现新建、修改、删除等在恶意代码的行为之中，一般都是将其自身设置到Windows的开机自动启动项中，以达到开机自启动的目的，从而实现对本地机器的监控、开启后门、木马服务端等的功能方法一：本地运行reg脚本、举例如下： Windows Registry Editor Ve...

2020-05-03

0 559