- 博客(8)
- 收藏
- 关注
原创 【揭秘家用路由器0day】Qemu & buildroot 安装和测试
今天在虚拟机中安装 Qemu 和 MIPS 交叉编译环境 buildroot,操作系统环境信息查看系列的第一篇文章。遇到了很多问题,在此做一个记录。
2024-02-09 23:34:43
2129
1
原创 【揭秘家用路由器0day】Wine + IDA环境搭建
今天开始学习《揭秘家用路由器0day漏洞挖掘技术》,由于这本书是 9 年前出版的,里面介绍的环境搭建方法有些过时,碰了很多壁,在此做记录。
2024-02-06 18:42:28
1649
1
原创 如何使用 x64dbg 的跟踪功能加速样本分析
最近在分析 PLAY 勒索家族的样本,在加密文件之前,样本首先检查文件的扩展名是否在一个列表里,从而决定之后的加密行为。其中有一个列表的长度接近 200,也就是说要进行接近 200 次循环。因此如果想要获得这个扩展名列表的全部内容,单步调试的方式就显得十分不明智。所以我想到了调试器的跟踪记录功能,但是之前只是知道这个概念,具体应该如何操作并不清楚。在此记录此次使用的方法,方便后续学习。
2024-01-26 19:18:00
923
1
原创 如何正确分析及调试傀儡进程
病毒通常会通过进程/线程注入的方式躲避杀软的监测,之前我只尝试过调试通过创建的线程代码,只需要在调试器中①将主线程优先权设置为空闲;②在新创建线程的函数起始位置设置断点。继续执行就可以断在新创建的线程位置。但是这个方法如果遇到就失效了,因新创建进程的代码和当前调试进程并不在一个内存区域,没办法定位并设置断点。这里提到的使用的情况就是 Process Hollowing,即傀儡进程。
2024-01-11 16:26:04
495
原创 【记录】使用 Python 爬取 Malpedia 信息
代码首先检查是否为 Windows 或 Linux 系统,然后获取详细信息页面路径并访问,检查页面中是否包含。字符串,并检查最新报告时间是否在 2021 年之后,如果条件全部满足,则记录家族名称及详细信息页面路径。字符串” 的方式,因此结果并不准确,可能会有漏报或误报,误报的方式通过人工再次检查,漏报不做处理。由于业务需要获取近三年勒索家族病毒信息,因此尝试使用 python 爬取。注意,由于检查某家族是否和 勒索 相关的方式只是通过 “页面中是否包含。
2024-01-03 21:40:05
505
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人