- 博客(132)
- 收藏
- 关注
RSS订阅原创 从苏宁电器到卡巴斯基第06篇:我在佳木斯的日子(上)
先来陈述一下背景 自从我们老师与超市展开合作以来(其实也没合作几年),差不多每年的七月份左右,都会和超市举办书展,算是图书促销,我毕业那年也不例外。正好我是六月末毕业离开学校,而那年的书展就定在了七月初。而我那年应该是规模最大的一次图书促销了,一共涉及三个城市的三家大润发超市。因此公司这边自然也得派三个人去监督。 负责超市事务的经理去了吉林市(离长春最近的地方),我被派往去
2016-06-26 16:00:24
6510
1
原创 从苏宁电器到卡巴斯基第04篇:我的本科时光(补)
难以消除的误解 当我在库房以及店面的这两个阶段,老师对我始终存在着一种误解,这种误解竟然还愈演愈烈,是除了上次进书那件事以外,最令我大动肝火的事了。为此也有过几次的争吵,最终也都是不了了之,我既无法说服老师,老师的奇葩逻辑更加不可能让我改变自己的想法。 其实是我自身性格的原因,无论是在库房还是在店面,我和大家说话交流的次数是比较少的。我承认我性格内向,但是这也并不算是什么不好
2016-06-22 23:44:00
9763
6
原创 从苏宁电器到卡巴斯基第03篇:我的本科时光(下)
最后,只能求助于我的老师了 由于找工作处处碰壁,无奈之下,我只能求助于我的老师了。之所以求助于她,是因为我听说我们班的一个同学在暑假的时候在她的公司干了一段时间,因此我觉得我也可以去。老师的公司主要做的是图书批发生意,当然了,公司是不是她的其实我并不知道,毕竟她的图书业务是从她老公那里分离出来的,她老公那边主要是做教辅类图书批发生意,而老师这边是以少儿类图书为主。老师算是这边的头,一切
2016-06-21 09:41:02
8213
原创 从苏宁电器到卡巴斯基第02篇:我的本科时光(中)
怎么还分班了呢? 大概是在大二第二学期的时候吧,学院突然通知我们要分班。因为我们目前所有学生都是属于工商管理专业的,而从下个学期开始,就要分为会计、市场营销以及工商管理这三个方向。这还真是打了我一个措手不及,我都不知道还有分班这一回事。不过也没关系,我继续选择我的工商管理就好了。不过,在实际的选择结果上,像会计和工商管理这种学科,选的人自然是占了绝大多数,而选择市场营销的,大概也就是十
2016-06-19 20:28:22
9053
1
原创 从苏宁电器到卡巴斯基第01篇:我的本科时光(上)
前言 本系列文章的大标题为《从苏宁电器到卡巴斯基》,还有个小标题《讲讲我从一个营业员转变成一个病毒分析师的故事》。其实关于苏宁电器与卡巴斯基这两家企业无需我在这里过多地介绍,一家是中国电器零售行业的巨头,一家是世界顶尖的安全企业,在各自领域都有着响当当的名头。但是这两家企业的业务范围并没有交集,包括营业员与病毒分析师这两个职位也是风马牛不相及。而我在这一系列的文章中所讲的,就是我的真实
2016-06-19 10:25:17
9164
1
原创 网络攻防研究第001篇:尝试暴力破解某高校研究生管理系统学生密码
前言 如果你是在校大学生,而且还对网络攻防比较感兴趣的话,相信你最开始尝试渗透的莫过于所在院校的学生管理系统。因为一般来说这样的系统往往比较薄弱,拿来练手那是再合适不过的了。作为本系列的第一篇文章,我将会利用暴力破解的方式,尝试对某高校的研究生管理系统的学生密码进行破解。由于这个管理系统的网站属于该高校的内网资源,外网是无法访问的,因此大家就不要尝试按照文中的内容来对文中出现的网址...
2016-05-15 21:45:25
21120
8
原创 病毒木马查杀实战第022篇:txt病毒研究
前言 反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能认为,采取了五花八门的隐藏技术的病毒才是最难对付的。诚然,大家的观点都很有道理,病毒编写者往往也会用复杂高深的技术来武装自己的恶意
2016-04-20 15:22:11
15821
1
原创 病毒木马查杀实战第021篇:Ring3层主动防御之编程实现
前言 我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件。整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程创建,程序首先会进行特征码匹配,从而判断目标程序是否为病毒程序,如果是,则进行拦截,反之不拦截。停止监控时,再卸载掉DLL程序。以下就是程序各个部分的代码实现。 封装InlineHook类
2016-04-20 15:16:16
13914
3
原创 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理
前言 如果说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后,杀软一般都会弹出一个对话框提示我们,下载的程序很可能是恶意程序,建议删除之类的,或者杀软就不提示,直接删除了;或者当我们运行了某一个程序,包含有可疑操作,比如创建开机启动项,那么杀软一般也会对此进行提醒;或者当我们在计算机中插入U盘,杀软往往也会第一时间对U盘进行扫描,确认没有问题后,再打开U盘……上
2016-04-20 15:14:43
13861
原创 病毒木马查杀实战第019篇:病毒特征码查杀之编程实现
一、前言上次我们已经简单介绍过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀。二、定义特征码存储结构为了简单起见,这次我们使用的是setup.exe以及unpacked.exe这两个病毒样本。经过上次的分析,我们对setup.exe样本的特征码提取如下:\x2a\x2a\x2a\xce\xe4\x2a\xba\xba\x2a\xc4\xd0\x2a\xc9\xfa\
2016-04-20 14:32:44
17233
7
原创 病毒木马查杀实战第018篇:病毒特征码查杀之基本原理
前言 在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来说,类似于MD5以及CRC32这样的算法,在病毒大规模爆发时是可以提高查杀效率的,但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法,通过反汇编来寻找病毒的内容代码段、入口点代
2016-04-20 14:24:13
29333
4
原创 病毒木马查杀实战第017篇:U盘病毒之专杀工具的编写
前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具。 专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行,而是当我们的专杀工具执行后,一旦有U盘插入,就能主动检测U盘内容,如果发现病毒,就将其删除掉,之后检查系统中是否也存在病毒,
2016-04-20 13:52:12
21217
10
原创 病毒木马查杀实战第016篇:U盘病毒之逆向分析
比对脱壳前后的程序 我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1 可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看
2016-04-20 11:54:06
12415
原创 病毒木马查杀实战第015篇:U盘病毒之脱壳研究
前言 由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀。 对病毒样本进行脱壳 按照常规,首先是对病毒进行查壳的工作,这里我所使用的是“小生我怕怕”版的PEiD,之所以用这个版本,是因为经过我的实际测试,常规的PEiD或
2016-04-20 11:14:44
13055
3
原创 病毒木马查杀实战第014篇:U盘病毒之手动查杀
在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长,并且还出现了“自动播放”窗口:图1 自动播放窗口 在扫描完后,来到了U盘的打开类型选择窗口:图2 以前我在虚拟机中使用U盘,都没有出现过“自动播放”的情况。尽管如此,我这次也没在意,选择了“打开文件夹以查看文件”。但是
2016-04-20 10:07:20
10847
2
原创 病毒木马查杀实战第024篇:MBR病毒之编程解析引导区
前言 通过之前的学习,相信大家已经对磁盘的引导区有了充分的认识。但是我们之前的学习都是利用现成的工具来对引导区进行解析的,而对于一名反病毒工程师而言,不单单需要有扎实的逆向分析功底,同时也需要有很强的编程能力来解决实际问题。对于我们本次的课程来说,就需要大家亲自动手,利用程序来实现引导区的解析。这样做的目的,一方面是为了提高大家的编程能力,而另一方面则有助于我们更好地理解引导区
2016-04-18 22:23:42
5764
11
原创 病毒木马查杀实战第023篇:MBR病毒之引导区的解析
前言 引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课,会专门从各个角度来分析这种病毒的特点,阐述病毒原理,提出应对方法。而本次课程的内容主要来讨论一下引
2016-04-18 22:13:00
9889
16
原创 杂谈随想第004篇:博客访问量突破三万了
我的上一篇博文是在今年1月16号写的,内容就是关于我的博客访问量突破两万。当时我的博客访问量从一万跃升至两万,所花的时间不到两个月,是用12篇文章换来的。而这次,我的博客访问量是在前天突破三万的,也是不到两个月,但是不一样的是,在这近两个月的时间内,我一篇博文都没写,甚至还删除了一篇文章。 之所以没写文章,主要也是因为这两个月一直在录教学视频。时至今日,我已经录了39个视频
2015-03-16 09:32:52
2198
7
原创 杂谈随想第003篇:博客访问量突破两万了
我曾经在《杂谈随想第002篇:博客访问量破万的想法》文章的最后说过,“我计划在我的博客访问量每增长一万时,来抒发一下感想,总结过去,展望未来”。那天是2014年的11月22号,到今天还不满两个月,但是我的博客访问量竟然又增长了一万,这就又到了抒发感情的时间了。 很惊讶自己的博客访问量竟然在不到两个月的时间增长了一万。毕竟我的第一个“一万”,可是花了整整三个月的时间,用了四
2015-01-16 23:09:21
1617
原创 技术面试问题汇总第007篇:腾讯管家反病毒工程师-电话二面
我在1月8号的下午三点,接到了腾讯电脑管家反病毒工程师的电话二面。腾讯这次又是突然袭击,我丝毫没有准备。不过我上网看到有人竟然在晚上七点多还会接到腾讯的面试电话,这也就说明大家以后如果向腾讯投递了简历,那么就一定要时刻准备着。 这次的面试问题要比上一次更加的深入且全面,整个电话面试持续了22分钟。如果拿腾讯的面试问题与金山相比,最显著的区别在于,腾讯的这次面试是完全围绕着我的简历
2015-01-10 00:06:52
6907
23
原创 病毒木马查杀实战第013篇:一个基于.NET的“敲竹杠”病毒研究
一、前言 恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的“敲竹杠”病毒,用于勒索。可见随着时代的发展,病毒的作者们往往也是想利用自己的技术来获取不义之财,变得越来越功利化了。而本系列文章也顺应了这个发展,从病毒讨论到木马,进而来到了“敲竹杠”病毒的讨论上来。 二、什么是“敲竹杠”病毒 其实“敲竹杠”病毒
2015-01-08 01:56:37
6401
4
原创 技术面试问题汇总第006篇:腾讯管家反病毒工程师-电话面试
一、前言 我在2015年的1月5号的中午,很荣幸地参加了腾讯管家反病毒工程师的电话面试。其实能够接到这次的面试让我有些惊讶。首先,能够给腾讯投简历,纯属机缘巧合。其次,简历是1月4号下午投的,竟然还没到24小时就接到了电话面试。最后,突然面试我,我也是吓了一跳,毕竟什么准备都没有,不像之前的金山,还给了我五个小时的准备时间。不过突然袭击也好,能够直接反映出一个人的真实水平。
2015-01-07 00:03:54
5746
3
原创 病毒木马查杀实战第011篇:QQ盗号木马之专杀工具的编写
一、前言 由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了。 二、原理讨论 对于本病毒而言,其最大的特色就在于使用了进
2014-12-27 00:53:43
3851
2
原创 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
一、前言按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生“先入为主”的心态,在分析反汇编代码的时候就能够比较顺利。本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六
2014-12-25 17:25:45
4160
1
原创 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
一、前言 之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo
2014-12-23 17:16:08
3972
10
原创 逆向工程第005篇:跨越CM4验证机制的鸿沟(下)
一、前言 本文是逆向分析CM4系列的最后一篇,我会将该游戏的序列号验证机制分析完毕,进而编写出注册码生成器。 二、分析第二个验证循环 延续上一篇文章的内容,来到如下代码处:图1 上述代码并没有特别需要注意的地方,只是知道了接下来的循环需要执行4次。下面就是重要的验证部分:图2 这是注
2014-12-18 00:24:19
2484
原创 逆向工程第004篇:跨越CM4验证机制的鸿沟(中)
一、前言 在上一篇文章的最后,我已经找出了关键的CALL语句,那么这篇文章我就带领大家来一步一步地分析这个CALL。我会将我的思路完整地展现给大家,因此分析过程可能略显冗长,我会分为两篇文章进行讨论。在整个分析过程中,我也会把我所遇到的瓶颈展示出来,毕竟我在实际分析时,也并不是一帆风顺的,遇到瓶颈属于正常情况,关键是在于应该怎么解决。考虑到绝大部分读者手中应该是没有CM4这款游戏
2014-12-17 22:59:39
2027
原创 书评第004篇:《恶意代码分析实战》
随便在哪家网上书城进行搜索可以知道,在计算机安全类,特别是恶意代码分析领域的书籍可谓是凤毛麟角。如果哪位读者对于恶意代码分析有浓厚的兴趣,要么是去一些大型的安全类论坛看他人的分析报告,要么是在众多的安全类书籍中,东找一点西凑一点地进行学习。这也就说明了市面上确实少有专门针对于恶意代码分析的,以实战为主的书籍。而对于我这样的初学者而言,由于我希望成为一名反病毒工程师,因此我特别想能够阅读到在安全领域有着丰富经验的大牛的作品。而现实中的大牛往往很忙,大部分也不愿意将自己的经验记录下来。于是这就出现了学习的瓶颈,
2014-12-11 23:56:09
3451
2
原创 杂谈随想第002篇:博客访问量破万的想法
大概是四天之前,我的CSDN博客访问量终于破万。本来当时就想写一篇文章来好好感慨一下的,可是由于这几天一直在写《病毒木马查杀》系列的“熊猫烧香篇”,不想把这一系列的文章打断,就留在了今天来抒发一下感想。 我很清楚,访问量破万这件事对于很多技术大牛来说根本不算什么,因为他们一篇文章的访问量就能够破万,而我是靠着四十几篇的文章,花了近三个月的时间才取得这个成绩的。本来计算机安
2014-11-22 00:29:18
3049
10
原创 病毒木马查杀实战第008篇:熊猫烧香之病毒查杀总结
一、前言 之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种“病毒也不过如此”的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动
2014-11-21 12:55:35
5549
原创 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
一、前言 这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为。 二、病毒分析 现在程序执行到了loc_408171位置处:
2014-11-20 15:12:59
4629
原创 病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
一、前言 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。 二、病毒功能分析
2014-11-18 15:11:51
3934
原创 病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
一、前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
2014-11-17 12:29:18
8728
10
原创 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
一、前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严
2014-11-09 23:50:44
8440
4
原创 病毒木马查杀实战第003篇:熊猫烧香之行为分析
一、前言 为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。关于这款软件的使用,可参考以下三篇文章: 《文档翻译第001篇:ProcessMonitor帮助文档(Part 1)》 《文档翻译第002篇:ProcessMonitor帮助文档(Part 2)》 《文档翻译第003篇:Pro
2014-11-04 22:50:12
5455
5
原创 病毒木马查杀实战第002篇:熊猫烧香之手动查杀
一、前言 作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究
2014-11-03 14:06:17
6033
8
原创 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
一、前言 《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。当然,本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。因为如今杀软的原理非常复杂,并不是一个人就能够完成的,加之我个人水平有限,因此不会涉及杀软编写的问题。不过,我会在以后
2014-11-02 13:31:33
6925
4
翻译 文档翻译第003篇:Process Monitor帮助文档(Part 3,附Process Monitor的简单演示)
【导入与导出配置】 一旦您配置了一个筛选器,您可以使用“工具(Tools)”菜单中的“保存筛选器(SaveFilters)”菜单项将其保存。Process Monitor将您所保存的筛选器添加到“读取筛选器(Load Filter)”菜单,便于您能够方便地访问。您也可以选择“工具(Tools)”菜单中的“管理筛选器(Organize Filters)”来打开管理筛选器对话框,以改
2014-10-28 15:17:10
4180
翻译 文档翻译第002篇:Process Monitor帮助文档(Part 2)
【筛选与高亮显示】 Process Monitor提供了一些方式来配置筛选器和高亮显示。 筛选器的包含与排除 您可以在筛选器中指定事件的属性,这样就可以令Process Monitor仅显示或排除与您所指定的属性值相匹配的事件。所有的筛选器都是无损检测,也就是说这仅会对Process Monitor显示事件的方式产生影响,而不会影响潜在的事件数
2014-10-28 11:52:22
2601
翻译 文档翻译第001篇:Process Monitor帮助文档(Part 1)
【译者注】 Process Monitor是一款非常著名的系统进程监视软件。总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中所有文件的操作过程,而Regmon用来监视注册表的读写操作过程。用户可以利用Process Monitor对系统中的文件系统以及注册表操作等方面同时进行监视和记录。通过监控系统中相应位置的变化
2014-10-27 18:10:23
3226
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人