- 博客(5)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 逆向学习样本分析之透明部落
背景:“透明部落”(Transparent Tribe)是一个南亚来源具有政府背景的APT组织,其长期针对周边国家和地区的军队和政府机构实施定向攻击。一、恶意分析1.样本来源。这个文档底部有两个链接用于下载附加信息,一个是doc文档,一个是xls文档。宏提取如下所示:Attribute VB_Name = "Module1"Sub unzip(Fname As Variant, FileNameFolder As Variant) Dim FSO As Object Dim
2021-11-18 21:10:45
417
原创 逆向学习之汇编基础
我们知道,人和人之间交流,需要语言、文字等来交流,那么人和计算机交流是怎么交流呢?人和计算机交流也需要语言,不过这种语言是需要计算机这个机器能够识别,那就是二进制,即0和1。但是0和1这种语言对于我们来说不易理解,所以就在这个基础上诞生了汇编语言。汇编语言对于我们来说较为容易理解。学习汇编语言主要是为了让我们了解计算机在底层的操作。接下来就让我们从计算机结构开始我们的学习之旅。一、计算机结构现在计算机体系结构基本上用的都是冯诺依曼的机构1.中央处理器cpu:运行代码2.内存(RAM):存
2021-11-18 14:55:13
316
原创 逆向学习之Win32 API
首先什么是API?API就是Windows操作系统提供给我们的函数(应用程序接口),主要存放在C:\Windows\System32(存储的DLL是64位)、C:\Windows\SysWOW64(存储的DLL是32位)下面的所有DLL文件。几个较为重要的dll文件:一、进程的创建1.什么是进程:进程其实是一个空间上的概念,它提供资源,但不负责资源的利用。程序运行所需的代码数据都是由进程提供的。2.进程的创建:CreateProcess()函数这个函数的结构如下:BOOL C.
2021-11-18 13:52:34
819
原创 逆向学习之数据类型
DWORD是双字节数据类型,是指注册表的键值,全称是Double Word,Word有连个字节,双字节就是4个字节,一个字节是8位,4个字节就是32位。C语言的数据类型:整型(short、int、long、long long)、字符型(char)、实型或浮点型(单精度float和双精度double)、枚举类型(enum)、数组类型、结构体类型(struct)、共用体类型(union)、指针类型和空类型(void)。...
2021-11-08 12:56:01
617
原创 宏文件恶意代码分析
一、分析工具:oledump.py二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a三、分析步骤1.查看宏命令:python3 old_sample/oledump.py ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a结果出现大写字母“M”的表示宏代码的位置,“8”为索引2.提取恶意宏代码命令:python3
2021-10-16 17:46:39
738
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人