- 博客(4)
- 资源 (7)
- 收藏
- 关注
原创 WinDBG自动收集栈信息脚本
0)脚本代码@echo off @set tmp_user=%userprofile:\=\\% @set debugger_dir=%userprofile%\Desktop\WinDbg\x86\ if "%1" == "" (echo Please Enter Process Name & goto :END) @echo bp kernel32!C
2018-11-22 18:24:00 274
原创 病毒分析常用技巧-修复内存dump文件
病毒常用的技俩之一就是创建一个傀儡进程,借助傀儡进程,执行自己的恶意代码。其实现方法:1.以挂起方式创建一个进程2.写入一个PE文件到这个挂起的进程的内存,可能会使用API WriteProcessMemory或MapViewOfSection那一套API来完成这个操作3.调用ResumeThread恢复进程执行对付这种我们可以在它写入数据到目标进程时下断点,例如WriteProcess...
2018-11-13 16:41:33 3891
原创 如何调试Word宏病毒,以及使用VS调试VB脚本
一般Word被嵌入了带有恶意行为的宏代码(VBA代码),当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。或者有的word默认是禁止宏运行,会弹出一个提示,是否允许运行携带的宏代码。上面是一个11月份的比较新的,针对银行的木马,主要通过垃圾邮件附件的方式传播,以Word宏作为病毒载体。我使用的是Office2013默认禁止运行宏。但是邮件的内容是诱导用户去点击那个"启动内容"...
2018-11-08 09:10:20 3383
原创 C++中GUID转字符串
#include "stdafx.h"#include <stdlib.h>#include <objbase.h>int _tmain(int argc, _TCHAR* argv[]){ GUID guid = { 0 }; if (CoCreateGuid(&guid) == S_OK) { wchar_t test[48] = {
2018-11-06 11:30:34 4936
Windows.Internals.Part.1.7th.Edition
2018-03-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人