学习笔记-第四章 恶意代码分析实战

最新推荐文章于 2023-09-20 17:39:30 发布
最新推荐文章于 2023-09-20 17:39:30 发布
阅读量625 收藏 1
点赞数
分类专栏: online-learning 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88144267
版权

第四章

x86反汇编学习

一。计算机系统被描述为以下六个抽象层次。
	1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的
	复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。
	
	2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们
	从更高的机器码层翻译过来,提供了访问硬件的接口。当分析恶意代码时,我们通常不关心微指令,因为
	它们通常是为特定的计算机硬件设计的。
	
	3.机器码。 机器码层由操作码组成,操作码是一些十六进制形式的数字,用于告诉处理器你想要它做什么。
	机器码一般由多条微指令实现,这样底层硬件就能实际执行代码了。而机器码本身又由高级语言编写的计
	算机程序编译而来。‘
	
	4.低级语言。 低级语言是计算机体系结构指令集的人类易读版本,主要是汇编语言。恶意代码分析师使用
	这一层,因为对人来说,机器码不易理解。我们使用过反汇编器来生成低级语言的文本,这些文本由一些
	简单的助记符组成,如mov和jmp。汇编语言存在一些不同的语法,我们会逐一介绍。
	
	5.高级语言。 大部分程序员使用高级语言。高级语言对机器层做了很强的抽象,从而可以很轻松地使用程
	序逻辑和流程控制机制。高级语言包括c,c++等。它们被一个编译器经过成为编译的过程转化为机器码。
	
	6.解释型语言。 解释型语言位于最高层。 很多程序员使用诸如c#,perl,.net.java等解释语言。这一层的代码
	不会被编译为机器码,而是被翻译为了字节码。字节码是特定于该语言的一种中间表示,它在解释器中执
	行。解释器是一个运行时将字节码实时翻译为可执行机器码的程序,它在解释器中执行。

二.逆向工程
 	恶意代码存储在磁盘上,通常是机器码层
最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_04反汇编速成
kitsch0x97的博客
05-08 1083
静态分析基础技术就像在解剖时只看到尸体表面。通过这些分析,你可以得到一些初步结论。但要了解整体情况,还需要更深层次的分析。动态分析基础技术也有不足。比如,当恶意代码收到一个特殊设计的网络包时,你可以通过动态分析基础技术知道它的反应。但你却无法了解这个网络包的格式。为了对恶意为了对恶意代码进行更深层次的分析,需要对恶意代码进行逆向分析
反汇编代码里面的地址_恶意代码分析之对抗反汇编技巧入门
weixin_31143391的博客
01-27 397
在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:相应的机器码:E8 8B...
X86反汇编速成(恶意代码篇)
weixin_51758733的博客
05-16 592
X86 反汇编
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8730
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意代码(一)
花开 流年
08-24 810
0-day漏洞 参考链接:https://blog.csdn.net/weixin_42859280/article/details/104157806 APT攻击 高级持续性威胁(Advanced Persistent Threat,APT)。 参考链接:https://www.zhihu.com/question/28881041 勒索软件 参考链接:https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6/5243210?fr
恶意代码浅析
Reveone的博客
09-20 449
恶意代码的种类非常多,不仅仅是EXE可执行程序中可以携带恶意代码,office文档和脚本程序也可以携带恶意代码。对于恶意程序的分析,大体上和普通程序的分析方式一致。本文主要介绍各类型恶意代码分析方法和一些经典的恶意代码分析实践。
浅谈恶意代码的研究分析
weixin_68789096的博客
04-25 685
恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑 数据的安全性和完整性的目的。恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用,其中包含了傀儡程序与傀儡网络、Rootkit、社交 工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往,而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济 体。
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
最新发布
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
生活在网络时代
zyfdanny的专栏
08-17 924
文 / 温玉洁  生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋生的温床,有资料显示,未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒,在人们通过网络查阅信息、交换文件、收听视频时正在悄悄地传播。这些病毒或蠕虫不仅在
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3536
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
恶意代码分析-第四章-X86反汇编
每昔的博客
08-06 215
简单指令 网络中用大端字节序 X86中用小端字节序 sub 指令会修改:ZF:结果为0 CF:目标操作数比减去的值小 CF置位 乘法指令mul:mul value - - -eax乘value 结果以64位形式分别存储在EDX(高)和EAX(低) 除法指令div :div value - - - EDX和EAX和起来除以value 结果商存储在EAX,余数存储在EDX 目的操作数左右...
如何用C语言编写病毒‘
weixin_34265814的博客
10-26 832
怎样用C语言编写病毒在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现.[Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0.一、什么是病毒 恶意软件可能是第一个对我们产生影响的计算机...
C语言与木马恶意代码分析和360安全防护揭秘
u013948190的专栏
01-07 1094
C语言与木马恶意代码分析和360安全防护揭秘 http://feixueteam.net/thread-436-1-1.html
计算机组成原理考前盘点
Xor0ne
06-27 2301
参考教材:《计算机组成与结构》(第五版)王爱英主编 第一章计算机系统概论 1、计算机系统的构成; 计算机系统分为硬件系统和软件系统。P4 硬件系统包括:中央处理器(CPU,运算器和控制器)、存储器、输入设备、输出设备 软件系统包括:系统软件和应用软件 参考链接 2、理解层次结构的计算机系统; 硬件(只能理解机器语言)、第一级虚拟机(汇编语言)、第二级虚拟机(高级语言); 理解计算机是一个层次结构的系统,硬件与软件之间的关系,理解高级语言是怎样被计算机执行的,理解组成原理涉及的知识与操作系统、编译软件、高
C/C++恶意代码盘点(二):后门丨文件监控丨自删除功能
m0_69258078的博客
04-07 262
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到,昨天咱们分享了一部分,那么今天我们就分享其他一些技术,主要包括:后门、文件监控、文件自动删除等。后门 后门常以套件的形式存在,用于将受害者信息发送给攻击者或者传输恶意可执行程序(下载器),最常用的功能是接收攻击端传送过来的命令,执行某些操作。 Windows系统中有很多WIN32 API可以执行CMD命令,例如system Winexe
计算机上正在运行的句柄、线程、进程分别是什么意思?
weixin_33785108的博客
07-27 191
关于进程和线程以及句柄 - 吉行天下, 力挽狂澜 - IT博客http://www.cnitblog.com/Patrick/archive/2006/12/23/20997.html 所谓句柄实际上是一个数据,是一个Long (整长型)的数据。句柄是WONDOWS用来标识被应用程序所建立或使用的对象的唯一整数,WINDOWS使用各种各样的句柄标识诸如应用程序实例,窗口,控制,位图,GDI对...
C语言写病毒,木马
热门推荐
mypaomian
07-25 1万+
以前在网吧花了大投资的游戏账号被心痛的盗过一次,于是到了大学就傻逼傻逼的想写病毒,木马,出出风头,然后到处到处搜索,相关方法,以为这样就能写出病毒木马。一直持续到前段日子,偶尔看到一本关于杀毒软件是怎么查杀木马的资料,才知晓 自己当时的做法是多么的愚蠢,当时想到的一些方法,很多年
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值