A_ZHAZHAL的博客

原创 BuleHero 蠕虫分析

文章目录前言执行过程详细分析火绒剑分析IDA关键词分析Wireshark抓包漏洞利用CVE-2017-12615 漏洞利用CVE-2017-5638 漏洞利用CVE-2018-2628 漏洞利用CNVD-2018-24942 漏洞利用CVE-2019-2725 漏洞利用CVE-2018-7600 漏洞利用CVE-2019-0193 漏洞利用PHPStudy后门总结前言原先也没分析过蠕虫的样本，冲浪的时候看到了关于BuleHero蠕虫的介绍，感觉蛮有意思的，分析分析。执行过程详细分析主体文件使用u

原创 俄罗斯套娃式的.net样本分析

文章目录前言描述.net分析静态查看原始文件调试解密DLL调试解密.net文件分析PE文件分析总结前言原来没有分析过.net的恶意程序，偶然发现了一个使用了Agent Tesla间谍软件生成的木马，看到有不少分析的文章了，就自己分析一下，记录一下分析过程。描述原始文件是由c#编写的，内部包含两个资源，一个是图片，另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务，并解密出来一个PE文件来执行窃密操作。.

原创 一個有趣的白加黑样本分析

文章目录前言文件前期整理分析执行流程分析HD_Comm.dllAu.exeConfig.dat 分析导出函数 wow_helper导出函数 UserServicedllhost.exe总结前言偶然找到一个白加黑的样本，尝试进行分析，看看是如何运行的。先放个自己做的样本的流程图吧。文件前期整理分析文件夹内有3个文件，前两个是隐藏文件，而且虚假后缀为 .bmp 的文件类型是快捷方式，所以判断这几个文件应该是有猫腻的。使用 HIEW 对截图.bmp文件进行查看，发现它会调用 rundll32.e

原创 宏病毒混淆分析

前言很早之前就说要分析宏病毒，一直没机会，现在终于有空闲时间来分析一个混淆的比较厉害的宏病毒了。静态分析分析宏病毒时，可以利用 oledump.py 来将宏代码提取出来再进行分析。使用命令 python oledump.py 文件名，即可查看文件流信息。下图中的 M 表示该段中有宏代码。python oledump.py -s 8 -v 11.dat >1.txt 可以将8段...

原创 双机调试及双系统引导

打开“运行”或者键盘“Win+R键盘”，打开运行界面。输入“msconfig”，点击“确定”。打开“系统配置”界面。在“系统配置”界面，选择“引导”选项卡。在“引导”选项卡处，选择项首先启动的系统选项。点击“设为默认值（S）”，点击“确定”，即可。设置完毕。重启电脑，可以实现win7或win8作为首先启动项。（win7、win8双系统切换）。双系统在安装的时候，两个系统是分别...

原创 lpk.dll劫持

文章目录iosguk.exe样本信息PEID 分析火绒剑分析执行监控文件监控服务监控网络监控注册表快照分析IDA 分析WinMain 函数CreateService_0 函数sub_404A63 主函数sub_402B7F 感染共享文件夹sub_40287A 函数sub_404658 网络发包HttpGet 函数sub_4035A3 网络发包hra33.dllIDA 分析DLLEntryPoint...

原创 初学编程的问题Mark.md

初学编程的问题Mark字符串数组定义时，一定要在字符串的末位加上‘\0’以结束字符串。在C语言中，int float 本质上都是内存空间，没有什么区别C语言代码运行过程：预处理、编译、链接、生成exe文件代码发生跳转偏移的次数，来判断谁的运行速度更快传参的本质：把形参看做局部变量，初始值是实参free后，值不会变，只是指向了一个无效的内存区拆分文件时，需要...

原创 关于c语言坦克大战的

原创 C语言版2048小游戏创作思路及代码

1.界面2.随机数字3.上移4.下移5.出现移动后的数字6.判断是否需要再加数字