![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒分析
文章平均质量分 70
zephyrOOO
这个作者很懒,什么都没留下…
展开
-
如何使用 x64dbg 的跟踪功能加速样本分析
最近在分析 PLAY 勒索家族的样本,在加密文件之前,样本首先检查文件的扩展名是否在一个列表里,从而决定之后的加密行为。其中有一个列表的长度接近 200,也就是说要进行接近 200 次循环。因此如果想要获得这个扩展名列表的全部内容,单步调试的方式就显得十分不明智。所以我想到了调试器的跟踪记录功能,但是之前只是知道这个概念,具体应该如何操作并不清楚。在此记录此次使用的方法,方便后续学习。原创 2024-01-26 19:18:00 · 923 阅读 · 1 评论 -
如何正确分析及调试傀儡进程
病毒通常会通过进程/线程注入的方式躲避杀软的监测,之前我只尝试过调试通过创建的线程代码,只需要在调试器中①将主线程优先权设置为空闲;②在新创建线程的函数起始位置设置断点。继续执行就可以断在新创建的线程位置。但是这个方法如果遇到就失效了,因新创建进程的代码和当前调试进程并不在一个内存区域,没办法定位并设置断点。这里提到的使用的情况就是 Process Hollowing,即傀儡进程。原创 2024-01-11 16:26:04 · 495 阅读 · 0 评论