- 博客(32)
- 收藏
- 关注
RSS订阅转载 android恶意代码分析
之前都是在分析PE文件的,这个是找工作时的一个笔试题分析一个android恶意。用了一个星期熟悉java和android的东西然后写了这个分析有什么不对的地方还请大家见谅1.基本信息病毒名称:未知病毒类型:含恶意广告样本MD5:4360c2c29ed03898b925e07f4d648b4e样本大小:7.43MB2.概述恶意代码部分先于程序启动加载自己的页面,...
2012-12-22 20:53:00
707
转载 od 调试多线程问题
od对于单线程程序的调试效果非常高,今天在分析病毒是遇到个多线程病毒。在新线程中下硬件断点 hr 发现od并没有断下在网上找了一下说这个问题的人并不多不知道有没有人帮忙解答一下。我在调试病毒的时候是下的软件断点但是程序要重新调试这个软件断点才起到效果。下面是问题的一个简单例子代码#include "stdafx.h"#include <iostream>#in...
2012-11-24 20:21:00
492
转载 lnk文件感染遇到的问题
关于lnk文件的感染偶然在网上看到的。然后就关注了一下,lnk文件的感染是很多人可能都忽略的一个问题。并且lnk文件的感染所产生的效果很好。把lnk文件指向我们想要感染的任何文件。 要想感染这个文件,学习了pe病毒一段时间也知道了大概思路,那就是搞清楚lnk文件的格式。这个网上很多(但是不够完善,尤其缺乏我认为很重要的有关SHITEMID结构的解释)为了便于阐述我的问题下面这...
2012-11-08 19:55:00
569
转载 利用 sfc_os.dll #5号 api 关闭系统文件保护 篡改系统文件
Windows文件保护对于恶意程序来说是个烦人的东西。尤其是当你想修改系统文件时它就起到保护作用了。这个sfc_os.dll #5号 api也是我在病毒分析时遇到的。它的作用是关闭系统文件保护60秒。下面给出一个C的源码样例。利用这个时为了避免被查杀最好给程序加壳或者用hash来查找api。//c code demotypedef DWORD(__stdcall *CPP) (D...
2012-10-16 22:28:00
297
转载 一次病毒分析过程的体会
病毒分析过程这个gay8病毒是在看雪上看到的,别人已经分析过了。感觉自己东搞西搞的一直到现在还是不叫混乱,今天来分析一个病毒试试,结果。。。呵呵依然是一头雾水,把这个过程写出鼓励一下自己不要灰心气馁。首先peid查壳,还好没有加壳。然后ida反汇编查看string,imports。发现文件操作相关的api还有临时文件的api开辟内存api还有几个窗口的。...
2012-10-11 21:03:00
183
转载 端口复用原理&&源码
端口复用原理&&源码原理:在WINDOWS的SOCKET服务器应用的编程中,如下的语句或许比比都是: s=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP); saddr.sin_family = AF_INET; saddr.sin_addr.s_addr = htonl(INADDR_ANY); bind(s,(...
2012-09-27 21:41:00
670
转载 匿名管道技术与反弹木马技术(样例源码)
管道是一种简单的进程间通信机制实际上是共享在一段内存。一个进程在管道写数据一个进程读取。匿名管道技术只能在父子进程或者一个进程的两个子进程之间通信。下面是一个简单的例子还有注释#include "stdafx.h"#include <WinSock2.h>#include <Windows.h>#pragma comment(lib,"ws2_32.lib")...
2012-09-22 20:35:00
413
转载 远程注入技术(样例源码及反汇编分析)
dll既动态链接库由多个功能函数构成,不独立运行,不会出现在进程列表中,dll作为进程的一部分很难被发现。因此是dll注入是木马很好的隐藏方式。进行远程注入的方法:提升进程权限至Debug模式(因为只有Debug模式才能打开进程句柄),打开远程进程,将需要的信息写入远程进程的内存,启动远程线程加载dll。进程提升:OpenProcessToken()打开进程令牌Loopu...
2012-09-19 21:49:00
161
转载 枚举进程的几种方法(转)
在Windows 2000以上的MS操作系统,通过Windows的任务管理器可以列出当前系统的所有活动进程,在Windows XP中,更是在控制台下增加了一条Tasklist命令,让系统下的所有进程无所遁行。这一切是怎么实现的呢?方法一第一种方法是大家比较熟悉的通过ToolHelp Service提供的API函数来实现。这里用到了3个关键的函数:CreateToolhelp32Sna...
2012-09-18 20:40:00
227
转载 学习服务程序的编写(作为服务及木马的基础)
服务 是指定系统功能的程序例程或进程。以便支持其他程序。尤其是底层程序。其实服务就是一种特殊的应用程序,他从服务启动开始一直处于运行状态。服务实在系统加载以后自动启动的不需要登录。Windows下的服务都遵循SCM接口标准。他们会在登录系统是自动运行。服务能作为木马的重要特性:可以被指定为自启动在任何用户登录前运行,杀死杀软后台运行不易被发现。看到一个比较详细的关于服...
2012-09-14 21:43:00
112
转载 minim木马分析
又是一个比较菜的木马分析,很久以前的木马,大家不要见笑。不积跬步无以至千里,我还是慢慢来呵呵。利用telent可以远程登录基本信息 报告名称:mini木马分析 作者:...
2012-09-12 20:02:00
150
转载 端口扫描原理方法
端口扫描:端口扫描的目的:判断目标主机上开放了哪些服务,判断目标主机的操作系统。如果入侵者掌握了目标主机开放了哪些服务运用何种操作系统,他们就能够使用相应的手段实现入侵。端口的基本概念常见公认端口端口扫描原理:TCP报文结构:TCP协议只定义了一种报文格式建立、拆除连接、传输数据使用同样的报文TCP报文格式TCP报文段首部(...
2012-09-10 16:51:00
658
转载 简单的下载者木马分析(2)dll部分
附件:http://bbs.pediy.com/showthread.php?p=1097416#post1097416dll部分这里面的建立service部分没搞明白,以前没有接触过不知道起到什么作用的求教啊。。。功能分析:1.提升进程权限2.判断dll运行环境3.释放文件,创建服务(这几个api以前没见过还没搞懂)4.创建线程,下载文件(url: http://c.shidaih...
2012-08-26 14:42:00
243
转载 简单的下载者木马分析
算是第一次自己分析一个完整的木马,时间花费很长释放的dll还没来及分析后面会跟上。好多api都是刚刚查过才知道。很简单大家不要吐槽啊。附件里面有idb和原文件 还有脱壳后的文件。欢迎大家批评指教附件:http://bbs.pediy.com/showthread.php?p=1090998#post1090998基本信息 报告名称:ye.exe下载者木马分析...
2012-07-29 12:06:00
411
转载 提升进程权限的两种方法
1.通过LookupPrivilegevalue等函数GetCurrentProcessID 得到当前进程的ID OpenProcessToken 得到进程的令牌句柄LookupPrivilegeValue 查询进程的权限 AdjustTokenPrivileges 判断令牌权限 要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作,只要...
2012-07-26 16:06:00
766
转载 C语言实现的 inline hook
这是看雪上的一篇文章。原题叫做C语言实现的EPO不过我觉得叫inline hook更合适。动手实践了一遍虽然中间有点小波折但是最终成功了。我作了更多的注释以便理解,尤其是PE 的call jmp 特性开始不清楚导致没能明白跳转回原来的api的真实地址。希望对有兴趣的人有帮助。vc6.0完成后最好能动态调试一下,会有惊喜发现。main()函数找来找去我才找到的。不只是什么原因360...
2012-07-20 09:36:00
334
转载 程序 启动函数
启动函数:如果认为程序是从main(),winmain()开始执行的那就大错特错了。首先被执行的是启动函数相关代码,这段代码都是有编译器生成的。启动函数完成初始化进程在调用main函数。对于vc程序来说可以再 中找到启动函数的源代码,对于控制台程序源代码在 中。所有c/c++程序运行启动函数的基本作用都是相同的:1,获取指向新进程的完整命令行的一个指针;2,获取指向新进程...
2012-07-18 16:42:00
232
转载 通过导出表搜索api
搜索整个ENT (Addressofname)表对要搜索的api进行匹配if(Addressofname+number)= offsetof api_string得到的number既是对应的addressofnameordinals的下标num(addressoffunctions中的序号)=nbase(检索基数)+addressofnameordinals【number...
2012-07-17 10:32:00
104
转载 web蠕虫编写艺术
标题:web蠕虫编写艺术作者:未知译者:riusksk(泉哥)来源:国外著名黑客杂志《hack in zine》*导言*自动化*搜集目标*绕过IDS,多态性和通讯*结语===导言=== 本文以一些未公开的WEB蠕虫为例,这些蠕虫可通过PHP漏洞脚本...
2012-07-12 15:37:00
574
转载 PE文件加载过程揭秘(3)
2011年10月09日 星期日 16:24转载自 cvvd最终编辑 cvvd让我想想,这集应该谈什么来着?哦,对了,上次说的重定位数据了,嗯。说到数据的重定位,我们就不得不谈谈系统究竟为什么要对数据进行麻烦的重定位?既然在IMAGE_OPTION_HEADER中有一项ImageBase,指定了程序欲加载的位置,那么程序中用到的地址引用就都可以 以映射基址进...
2012-07-08 10:52:00
163
转载 PE文件加载过程揭秘(2)
2011年10月09日 星期日 16:23转载自 cvvd最终编辑 cvvd图1PE加载器在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入表的RVA和大小,准备开始输入函数的初始化。输入表的RVA实际上是指向一个以IMAGE_IM...
2012-07-08 10:52:00
214
转载 PE文件加载过程揭秘(4)
2011年10月09日 星期日 16:25转载自 cvvd最终编辑 cvvd相信大家通过前几篇对PE文件的学习,已经可以自己找到资源表了!没错它就是数据目录的第三项,从这里我们得到的是如下结构的RVA前3x4byte空间一般为0,只有后面的NumberOfNamedEntries(以资源名表示的资源数目)和NumberOfIdEntries(以ID...
2012-07-08 10:52:00
148
转载 pe 加载过程详解
转载自 cvvd最终编辑 cvvdPE文件格式作为Windows框架下的一种最为通用的可移植文件格式,被广泛使用的同时,也被广大Cracker研究。我写本系列文章的目的也主要立意于作为一名程序员或信息安全人员应该如何理解PE文件,这有助于我们对Windows旗下的win32子系统程序的理解和运用。闲话不多说。现在我们就将作为一个PELoader来学习一下PE文...
2012-07-08 10:51:00
439
转载 win32 内存驻留
在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且对于用户态代码有了访问限制:ring3程序代码只能读写其进程空间中应用专属的部分(在进程空间为4GB 的情况下,通常是低2GB),对系统内核部分占用的空间是没有读写权限的。这使得内存驻留感染变得困难,不过类似的想法和技术仍然是可能实现的,需要做的不过是一点变通:既然每个进程有其专属的进程空间,尽...
2012-07-03 08:54:00
98
转载 菜鸟的病毒分析6搜寻节空间感染pe
win32 搜寻节间隙感染pe文件经过上次那个变形pe头病毒的洗礼,分析这个终于不那么蛋疼了病毒行为:感染目录下的txt.exe文件 在原程序运行前运行病毒代码 弹出被感染对话框 继续感染其他病毒流程:搜索api 打开文件 内存映射 搜索每一个节 查看节剩余空间能否插入病毒 如果能 更改相关属性 添加病毒 写文件 关闭文件 完成.text:00401000 ;.text:00401000...
2012-07-03 08:53:00
172
转载 菜鸟的病毒分析5 pe感染文件感染病毒
pe文件感染病毒感觉好长时间没写了,这个pe结构着实让我很头痛,花了很长时间了解它。现在终于了解一点点了,下手分析一下win32简单的病毒。具体的有关于pe结构seh结构的问题去看雪上看看有很多的。win32留给病毒的位置不多因为留给节表的位置不够节表头的大小有40字节,如果自己想向pe文件添加一个节的话那么就要先凑够这40个字节。这个病毒就是巧妙的将pe头与dos头融合在一起留出足够的...
2012-07-03 08:52:00
270
转载 菜鸟的病毒分析 4
dos已经里我们很遥远了,之所以从dos开始只是因为我太笨了,怕自己接受不了复杂的win32。其实dos病毒远没有那么简单,dos也有隐藏,也有加密,也有反探索,也有反跟踪。。。这些技术全部都存在于win32病毒只不过他们不再用中断而是api。更加复杂的api。同时从16位汇编过度到32位,更恐怖的是64位已经开始发挥威力了。win32病毒的基础也离不开重定位这是dos病毒里面常用的同时...
2012-07-03 08:51:00
111
转载 菜鸟的病毒分析3 内存驻留病毒
dos 内存驻留病毒下面这个病毒不像之前的文件感染病毒那么简单了这是一个驻留内存病毒,所谓内存驻留病毒就是当程序结束之后还会有内存没有被释放,这就恐怖了可以利用这个修改中断让dos听你的话。为了能驻留内存就必须使程序结束后需要的内存不被释放这就要靠mcb这个内存管理控制块。mcb的相关概念查阅http://hi.baidu.com/dp282074009/blog/item/560e33...
2012-07-03 08:50:00
532
转载 菜鸟的病毒分析2
dos 运行期.exe文件感染病毒 还是如此的菜原谅我吧 病毒行为:感染.com文件 修改被感染文件的SS:SP流程:恢复被感染的文件的 cs:ip ss:sp 搜索.exe 如果是正确的.exe文件并且没有被感染过 ,打开文件保存文件信息 ,进行感染修改测试:ip ss:sp, 添加病毒代码 ,恢复文件信息 ,关闭文件用到的中断与上篇.com文件的感染相同dos下com文件与exe文件...
2012-07-03 08:49:00
227
转载 菜鸟的病毒分析 超菜 dos 蹩脚的.com文件感染病毒的分析
dos 蹩脚的.com文件感染病毒的分析病毒行为:感染com文件就这么蹩脚 第一次做分析 原谅我如此之菜吧流程:恢复已感染文件的头三个字节 查找.com后缀文件 判断是否是真实的com文件 如果是打开文件 保存前三个字节属性等信息 添加病毒代码 添加跳转 恢复属性等关闭文件 下面是用到的中断 psp dta结构可以去看雪上查查0F 打开文件 DS:DX=FCB首地址 AL=00 文件找到...
2012-07-03 08:47:00
397
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人