开开心心写

分类

ACM - dp(1) ACM - 二分(8) ACM - 数学(1) ACM - 矩阵(1) ACM-线段树(1) ACM题解(245) Android(3) angr(3) Crypto(5) CTF之旅(84) Linux(8) pwn(1) python(6) reverse(3) ubuntu(1) Windows(4) 大作业(1) 恶意代码分析实战(43) 数学(4) 数据结构专题班(15) 未归档(4)

/ 注册

全部文章（共442篇）

Windows API

http://blog.csdn.net/chinamming/article/details/18994783 啊有关任务计划的API函数：增加任务计划：NetScheduleJobAdd（）删除任务计划：NetScheduleJobDel（）枚举特定主机上的所有任务计划：NetSche...

2020-05-03

0 526

恶意代码分析实战Lab0701

运行程序，发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1：如何实现持久化驻留程序运行过程中，会开启一个名为MalService的服务运行net start查看机器当前开启的服务，惊人发现~服务没有开起来，可能是哪个地方姿势不对吧问题2：程序的互斥量...

2020-05-03

0 456

恶意代码分析实战Lab0702

动态运行程序行为：自动打开了网页：www.malwareanalysisbook.com/ad.html 静态分析使用IDA 标红线的这两个API是针对COM（组件对象模型）进行的操作不清楚IDA对于CLSID和IID格式的解读，在systemlookup网址没有查询到对应的查看对应的stri...

2020-05-03

0 485

恶意代码分析实战Lab0703

动静态结合分析过程特征字符串：kernel32和kerne132（注意是小写字母l和数字1）程序在运行的时候要带一个参数运行~常量字符串~ 这里CreateFile的功能是打开某个目录下的文件看到main的最后几行代码，调用了函数4011E0，且参数是C：\* IDA对4011E0的分...

2020-05-03

0 460

恶意代码分析实战Lab0901

和0304是同一个程序，下面是自己当时对0304的分析 http://blog.csdn.net/kevin66654/article/details/79250908 从IDA里分析main 先分析多次重复出现的402410 &parameters是由三部分字符串连接而成的 aCD...

2020-05-03

0 543

恶意代码分析实战Lab0902

首先动静态结合分析程序首先看strings，可以看到Runtime Error！等一些字符串，不能作为很明显的特征在IDA中的main可以找到这个这可以当成两个字符串看，1qaz2wsx3edc，程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序，看内存中会不会释放出ocl.e...

2020-05-03

0 483

恶意代码分析实战Lab0903

首先动静态结合分析程序跑起来会发现调用了3个DLL，用IDA先来看看main 简单猜想DLL1Print()是调用了DLL1，DLL2Print()是调用了DLL2 这里的extrn：说明这个函数是由外部实现的，这里是直接的外部调用（extern）调用DLL3Print()函数是采用的不...

2020-05-03

0 429

恶意代码分析实战Lab09补充

按照题的标号来的，先从书中找，然后贴网上Writeup的学习历程 Lab0901 -in : 安装； -c ：更新配置； -cc ：打印配置； -re：删除因为自己都是猜的，没有调试出来过，只知道密码是abcd，且没有成功安装和运行程序在地址4026cc处，打开了一个服务管理器，basena...

2020-05-03

0 563

恶意代码分析实战Lab1001

用IDA分析下exe 啊哈问题1：注册表操作书上提示说是用Procmon，其实用regshot来对比可能更直观吧啊哈问题2：ControlService调试问题3：程序功能啊哈啊哈啊哈

2020-05-03

0 381

Use CLR to maintain persistence

https://3gstudent.github.io/3gstudent.github.io/Use-CLR-to-maintain-persistence/ a 当按照实验步骤没有做成功的时候，一定需要的是静下心来，再做一遍检查自己的环境版本，理论理解，编程实现上是否有问题贴个成功的截图

2020-05-03

0 515