Fun之使用火绒剑对AsmToE工具行为分析

最新推荐文章于 2024-04-23 05:30:00 发布
最新推荐文章于 2024-04-23 05:30:00 发布
阅读量1.8k 收藏 1
点赞数 3
分类专栏: Fun 文章标签: AsmToE 汇编语言 机器码 指令转换 机器码转换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blood_Pupil/article/details/100019513
版权

最近在看《Q版缓冲区》这本书准备入门二进制,在这本书中为了老师先带领学生们手写漏洞利用的汇编代码然后通过VC++的调试模式获得这些汇编代码对应的机器码然后让学生们手抄下来!对,没错!是手抄下来!像我这种懒人肯定要找个方便的路子啊,那么多怎么抄!就算抄也容易抄错啊!我就想大学时不是学过计算机组成原理,里面不是有指令结构,是不是可以通过一张机器指令与汇编代码的对应指令表然后将汇编指令解析成机器码!主意是不错,但是时间太少,没那么多时间完成这个!那就找线程工具吧,为此本文的主句AsmToE这款工具出现了,使用了以后感觉不错,于是对这款工具的实现原理起了兴趣。了解得这这款工具美夜赤月大佬拿易语言写的,于是就加了作者QQ向作者讨要源码,大佬说非开源,于是就有了这篇文章。

首先工具界面就是下图这个样子,提供了默认MASMNASM三种引擎
界面接下来就拿出我们的火绒剑将AsmToE进程添加到监控中,如下图所示:
添加监控

最低0.47元/天 解锁文章
使用Process Monitor对病毒进行行为分析
weixin_43742894的博客
05-04 4203
使用火绒/Procss Moniter对病毒进行行为分析。 Process Monitor是一个经典的进程行为分析软件,火绒作为火绒的一个工具,专门作为病毒行为分析工具,非常好用,本文以熊猫烧香为例进行行为分析。 实验环境及工具 win7 x86 Process Monitor(因为火绒在病毒运行后打不开窗口) 行为分析 第一步:运行“”熊猫烧香,并进行监控 使用过滤器,对PID 2724...
火绒安全一面病毒样本分析
innovation的博客
03-15 1681
Summary: 病毒高危行为: 请求一系列加密的未知IP的443端口,连接可能与其他恶意软件通讯;尝试HTTP但是全都失败了 使用了大量的微软提供的加密函数,已知是AES对称加密 过程中怀疑使用了代码混淆 存在多处绕检测,反调试行为:比如频繁分配内存调用native方法,存在用另一个用户开启线程;多处使用了RDTSC指令来比对执行时间检测虚拟化或反调试;存在大量延迟尝试绕检测;存在LdrLoadDll动态调用绕检测;可能读取PEB信息检测调试器;修改token权限 MD5 974d669.
火绒(专业人员使用的系统进程分析工具
从新开始
03-02 1万+
火绒杀毒软件中有一个非常专业的进程分析工具,可以详细分析自已电脑上进程的异常情况。 安全工具中的火绒
火绒安全的用法
最新发布
新华编程特战队
04-23 2094
火绒安全软件是由北京火绒科技有限公司开发的安全产品,旨在为个人电脑用户提供全面的安全解决方案。它主要包括病毒防护、网络攻击防护、系统加固等多个方面,是一款集安全防护和系统优化于一体的软件。火绒安全软件是一款高效且功能全面的安全产品,适合于希望保护个人计算机免受各种网络威胁的用户。通过本文的介绍,用户应能够更好地理解和利用火绒的各项功能,以确保自己的电脑安全稳定地运行。随着网络安全威胁的不断演化,火绒也将持续更新和改进,为用户提供持续的保护。
某绒面试的病毒分析(二)
weixin_30698527的博客
07-03 672
分析系列二,由于我个人对病毒分析也不行,然后我们这次就用到火绒这款工具和ida来简单的看下病毒的行为,按照下面截图所示从上面火绒的显示我们可以看到这个病毒做了下面的几个操作对三处文件做了修改或生成,然后更改了注册表项HEKY_LOCAL MACHINE……,然后又设置http指定到carder.bit 设置连接ip为66.171.248.178:80然后我们在载入ida看下导入表,看到ADVA...
[病毒分析]远程木马创建傀儡进程分析
热门推荐
网络安全知识分享
08-06 1万+
远程木马创建傀儡进程分析 一、实验目的 该样本具有一定的免杀性,分析该样本都用了什么技术,能达到免杀效果,所以本次实验目的如下: (1)分析该样本运行流程 (2)提取该样本的关键技术,研究免杀原理。 二、实验描述 分析样本,MD5是997CF4517EE348EA771FD05F489C07FE,分析该样本的运行流程,我们需要调试傀儡进程,修复dump出来的傀儡进程,手工脱UPX壳,修复导入表。 三、实验目标 先将样本放到火绒里运行一下,了解样本A大概执行流程 dump出的傀儡进程为B程序,修复后
火绒独立版(Windows平台的安全分析工具,ARK工具
08-10
火绒是一款可以单独分析某个进程,也可以监控所有进程的软件。因为经过微软官方安全认证,所以与 Windows Defender 不能共存,在安装后,Windows会自行关闭WD 如果电脑上没安装火绒安全: 1、以管理员身份运行...
安全-火绒独立版-直接执行install.bat即可使用
04-07
2024年3月16日 测试 该工具可用. ****************** 不传无用工具 ****************** 火绒独立版-直接执行install.bat即可使用。 最新提取版,无需下载火绒或者旧版本。
火绒独立版 v2021.06.01.zip
08-02
火绒独立版是一款强大的安全分析工具,专为个人用户和小型企业设计,提供全面的系统监控和病毒查杀功能。v2021.06.01是该软件的一个特定版本,它包含了开发者在2021年6月1日时对火绒的最新优化和更新。这个版本...
火绒HRSword v5.0.69.2优化版 互联网安全分析软件
03-23
火绒-互联网平安剖析软件(HRSword),它是火绒平安软件里的高级工具,适用Windows系统的平安剖析辅助工具,具有系统动作监控、文件管理、进程管理、启动项管理、注册表管理、效劳管理、驱动模块、网络管理、系统...
[ChasseAsm版][汇编转换] AsmToE Ver 5.5.0-易语言
06-13
By:美夜赤月 本软件 的 ⑨大亮点 1.自动检测错误代码 2.支持定义参数跟变量 3.支持伪指令跟SSE指令 4.支持反汇编器支持标号 5.支持中文汇编指令转换 6.支持反汇编API名称还原 7.支持汇编代码的高亮跟自动完成 8.可以直接汇编带有API函数的语句 9.支持x64指令集的汇编以及反汇编 1.理论上是支持 直接call api地址的 但是在代码里,请自行取出API的指针然后再call指针 2.反汇编的时候 如果 指针跟某API的名字相同 该地址将会显示成API的名字 3.支持if 等的高级伪指令,不过得开启MASM引擎 4.反汇编的时候可以自动识别 跳转标识符,这样就方便看 跳转跳到了哪里当然,写汇编的时候也支持 跳转标识符。 5.支持x64指令集的汇编输出 6.支持x64指令集的反汇编输出 7.支持明文申请变量/参数 以及快速插入 Arg.x/local.x 抛弃麻烦的计算[ebp+-n] 8.精确定位错误位置以及输出错误信息 9.采用ChasseAsm/NASM/MASM 三重引擎 更新日志 AsmToE Ver 5.5.0 (2018-10-10) 增加 1.支持非跳转语句的标识符还原 2.可添加EIP地址 3.添加NASM引擎 修复 1.去掉了虚拟机检测 2.勾选x64的情况下转x86机器码无限卡死的Bug 3.汇编内数值转换的Bug 4.地址对齐的Bug 5.对0x数值的处理 由于是易语言开发的程序,个别杀软可能会提示为病毒软件 如果不信任的朋友,可以将该软件删除即可,谢谢合作。 _(:з」∠)_
AsmToE汇编机器码转换工具
07-24
汇编与机器码互相转换工具 支持新指令. 一次性全部转换机器码.
机器码转换汇编
07-30
机器码转换为汇编代码
ARM汇编转换器(修改)
03-09
这个软件的用处是将ARM汇编代码转换机器码,这个有什么用呢?比如一个so,你想改里面的代码,可以先用这个找出你要更改指令机器码 用法:在上面的窗口输入ARM汇编代码,点击中间的“转换机器码”按键,下面的窗口就会给出对应的机器码,这个支持armv7指令。默认ARM以模式转换,需要转换THUMB的,代码前加一行.code 16。
汇编语言之代码转换程序
12-22
这是asm格式的汇编源程序,代码转换程序
反病毒工具-火绒
KD的疯狂实验室
08-05 1万+
这是一款由杀软公司支持的AntiRootkit,行之有效的监视记录功能使其成为手工分析样本的利器.作为火绒(杀软)的可选组件提供给用户. ......你想判断一款程序是否是恶意程序?你想要了解自己电脑的安全状况?选择它准没错
记一次带有FSG壳的熊猫烧香病毒分析过程
richard1230的博客
04-02 5837
样本概况 样本信息 测试环境以及工具 分析目标 具体行为分析 0利用查壳工具查看 1.利用PChunter 2.手工清理 3.利用火绒进行主要行为分析 恶意行为的一个简要小结 4.脱壳 病毒恶意行为分析(OD结合IDA双合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2 知识点扩展3 知识点扩展4(编辑函数标签:) 知识点扩展5(有关seh链的:) 知识点扩展6(Del...
堆溢出(三)快表DWORD SHOOT
Reshahar 的博客
03-20 1404
Windows 堆溢之快表DWORD SHOOT By Rweb@Reshahar 0x000 环境 1. 虚拟机 VirtualBox 5.0.20 2. 系统 windows 2000 Kali linux 3. 工具 VC++6.0 OllyDbg 1.10 汉化版 AsmToE v5.20 0x001堆溢出之
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值