![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
恶意代码分析
文章平均质量分 92
努力学习的大康
这个作者很懒,什么都没留下…
展开
-
phpjiami加密原理详解及解密
使用Php-Parser对phpjiami加密原理进行详细分析,以及如何解密。原创 2022-11-13 03:03:03 · 2178 阅读 · 2 评论 -
yara规则学习与使用
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...原创 2022-06-20 22:53:35 · 6164 阅读 · 1 评论 -
office病毒分析从0到1
一、office文件格式office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本。Office2007之前的版本为OLE复合格式:doc,dot,xls,xlt,pot,pptOffice2007之后的版本为OpenXML格式:docx,docm,dotx,xlsx,xlsm,xltx,potx1.OLE复合格式(Object Linking and Embedding Data Structures)复合文档不仅包含文本,而且包括图形、电子数据表格、声音原创 2021-06-28 13:48:00 · 2095 阅读 · 1 评论 -
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
一、常用的隐藏技术启动器进程注入进程替换Hook注入DetoursAPC注入二、Lab12-11.行为分析执行之后的效果是每隔一段时间会弹窗。查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping.2.Lab12-1.exe主要流程分析1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam原创 2021-06-09 16:33:44 · 641 阅读 · 0 评论 -
恶意代码分析实战 --- 第十一章 恶意代码行为
一、 Lab11-01行为分析在当前目录释放文件msgina32.dll并且修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL为释放出来的msgina32.dll,对登录进行劫持。ida pro7.5很多unicode字符串无法识别出来。这里用了SysinternalsSuite中的strings工具来搜索字符串。静态分析对Wlx开头的所有函数进行分析。大部分的函数如下:原创 2021-06-06 18:36:23 · 1262 阅读 · 1 评论 -
初入门径 --- 护网钓鱼样本分析
最近半个月都在学《恶意代码分析实战》,想拿真实的恶意软件进行分析一下。正好朋友发了一个过来。(应该是护网的钓鱼文件)0x01 文件分析总共包括三个文件:2021年机关员工(子女)名单.exe、name1.jpg、name2.jpg2021年机关员工(子女)名单.exe:程序是golang编译的,分析起来有点困难。所以没有进行分析,只是看了一下会有什么行为。name1.jpg为exename2.jpg为dll导出了InitBugReport函数,且该函数存在异或解密shellcode的行为。0原创 2021-06-02 20:12:13 · 587 阅读 · 0 评论 -
恶意代码分析实战 --- 第十章 使用Windbg调试内核
一、安装内核调试1.配置虚拟机编辑C:\boot.ini ,该文件为隐藏文件,将文件按下面方式进行修改/debug表示开启内核调试/debugport=COM1表示使用哪个端口来连接调试系统与被调试系统/baudrate=115200表示指定串口数据传输速率。[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(原创 2021-05-31 21:43:47 · 954 阅读 · 0 评论 -
恶意代码分析实战 --- 第九章 OllyDbg
Lab 9-1查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑主流程分析1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令打开注册表LS原创 2021-05-24 13:32:19 · 944 阅读 · 0 评论 -
恶意代码分析实战 --- 第七章分析恶意windows程序
Lab7-1程序分析查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数相关APIBOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable);结构体:服务名|回调函数typedef st原创 2021-05-21 23:44:02 · 713 阅读 · 1 评论 -
恶意代码分析实战 --- 第三章 动态分析基础技术
Lab 3-11.找出恶意代码的导入函数与字符串列表导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名2.这个恶意代码在主机上的感染迹象特征是什么?3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络)写了一个文件到C:\WINDOWS\System32\vmx32to6原创 2021-05-16 20:44:41 · 785 阅读 · 0 评论 -
恶意代码分析实战 --- 第一章 静态分析基础技术
记录一下恶意代码分析实战的课后习题。Lab1-11.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?能够看到很多杀软都报毒了,但是好像看不出报的是什么类型的病毒。2.这些文件是什么时候编译的?Lab01-01.exe创建时间:2010-12-20/00:16:19Lab01-01.dll创建时间:2010-12-20/00:16:38应该是同时创建的.4.是否有导入函数显示出这个恶意代码是做什么的?如果是,是哪些导入原创 2021-05-15 22:24:58 · 665 阅读 · 0 评论