杨秀璋的专栏

前文探索了利用大模型辅助恶意代码分析，尝试进行恶意代码家族分类实验。这篇文章将继续讲解Powershell恶意代码检测，主要包括PowerShell混淆与反混淆内容，首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法，再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续，基础性文章，还请各位大佬多多指教，写得不足的地方还请海涵。希望您喜欢，且看且珍惜。

前文探索了利用大模型辅助恶意代码分析，即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析，尝试进行恶意代码家族分类实验。在恶意代码分析过程中，大家会遇到各种各样的问题，如何结合LLM和GPT完成复杂任务，更好地为安全工程师合作至关重要。基础性探索文章，还请各位大佬多多指教，写得不足的地方还请海涵。希望您喜欢，且看且珍惜。

前文介绍了APT攻击检测溯源与常见APT组织的攻击案例。这篇文章将尝试探索利用大模型辅助恶意代码分析，即LLM赋能Lark工具提取XLM代码的抽象语法树。在恶意代码分析过程中，大家会遇到各种各样的问题，如何结合LLM和GPT完成复杂任务，更好地为安全工程师合作至关重要。基础性探索文章，还请各位大佬多多指教，写得不足的地方还请海涵。希望您喜欢，且看且珍惜。

前文介绍了IDA Python配置过程和基础用法。这篇文章将尝试利用IDA Python提取恶意软件的控制流图（CFG），再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者，因此会遇到很多问题，欢迎各位大佬和读者指导，同时感谢李师弟的指导和交流。基础性基础，且看且珍惜。

前文介绍了利用AVClass实现恶意软件家族标注及RAID16经典论文解析。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例，并介绍防御措施。基础性基础，希望您喜欢，且看且珍惜。

前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注，在通过VS、VT采集批量样本后，通常需要样本家族标注，如何准确识别家族类别至关重要，其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助，基础性基础，希望您喜欢，且看且珍惜。

前文介绍了IDA Python配置过程和基础用法，然后尝试提取恶意软件的控制流图（CFG）。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注，在通过VS、VT采集批量样本后，通常需要样本家族标注，如何准确识别家族类别至关重要，其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助，基础性基础，希望您喜欢，且看且珍惜。

前文介绍了软件来源分析，结合网络攻击中常见的判断方法，利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习，首先介绍IDA Python配置过程和基础用法，然后尝试地区恶意软件的控制流图（CFG），再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者，因此会遇到很多问题，欢迎各位大佬和读者指导。基础性基础，且看且珍惜。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2022 DataCon大数据安全分析中恶意样本IOC自动化提取和攻击者画像分析内容。这篇文章将尝试软件来源分析，结合网络攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。文章同时也普及了PE文件分析相关基础，且看且珍惜。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛，主要是关于涉网FZ分析，包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup，经同意后分享给大家，推荐大家多关注她的文章，也希望对您有所帮助。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍如何构建深度学习模型实现恶意软件家族分类，这是安全领域典型的任务或工作。这篇文章是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛，主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识，DataCon也是我比较喜欢和推荐的大数据安全比赛，这篇文章2020年10月就进了我的草稿箱，但由于小珞珞刚出生，所以今天才发表，希望对您有所帮助！感恩同行，不负青春，且看且珍惜！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍如何学习提取的API序列特征，并构建机器学习算法实现恶意家族分类，这也是安全领域典型的任务或工作。这篇文章将讲解如何构建深度学习模型实现恶意软件家族分类，常见模型包括CNN、BiLSTM、BiGRU，结合注意力机制的CNN+BiLSTM。基础性文章，希望对您有帮助，如果存在错误或不足之处，还请海涵。且看且珍惜！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍如何将Cape沙箱分析结果Report报告的API序列批量提取，主要是提取Json文件的内容并存储至指定位置。这篇文章将讲解如何学习提取的API序列特征，并构建机器学习算法实现恶意家族分类，这也是安全领域典型的任务或工作。基础性文章，希望对您有帮助，如果存在错误或不足之处，还请海涵。且看且珍惜！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析，通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取，主要是提取Json文件的内容并存储至指定位置。基础性文章，希望对您有帮助，如果存在错误或不足之处，还请海涵。且看且珍惜！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍动态分析沙箱Cape的安装过程，其是一个开源的自动恶意软件分析系统，通过自动运行和分析恶意软件，全面分析和提取恶意软件的关键特征。然而，当样本数量增加时，单个样本分析会降低效率。这篇文章将讲解如何实现Cape沙箱的批量分析，通过调用Python脚本文件来实施批量处理，并将分析结果存储在指定位置，最后补充submit.py的参数及Python调用方式。基础性文章，希望对您有帮助！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码静态分析经典工具Capa的基础用法，以及批量提取静态特征和ATT&CK技战术，主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape，其是一个开源的自动恶意软件分析系统，通过自动运行和分析恶意软件，全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法，后续随着深入再分享。基础性文章，希望对您有帮助！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码静态分析经典工具Capa的基础用法，这篇文章将详细讲解Capa批量提取静态特征和ATT&CK技战术，主要是从提取的静态特征Json文件中提取关键特征。此外，Capa支持IDA插件操作，方便安全人员快速定位恶意代码，且能与ATT&CK框架和MBC映射。基础性文章，希望对您有帮助！

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码同源分析和BinDiff软件基础用法，这篇文章将详细讲解恶意代码静态分析经典工具Capa的基础用法，它是FireEye团队开源的工具，旨在自动化提取样本的高级静态特征，快速挖掘样本的恶意行为，同时支持IDA插件操作，方便安全人员快速定位恶意代码，且能与ATT&CK框架和MBC映射。基础性文章，希望对您有帮助，如果存在错误或不足之处，还请海涵。且看且珍惜。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Token关键词的抽取方法，它是指Powershell中具有特定含义的字段，主要通过官方提供的接口实现。这篇文章将详细讲解恶意代码同源分析和BinDiff软件基础用法，首先介绍恶意代码同源分析原理，其次介绍BinDiff工具的原理知识和安装过程，最后介绍BinDiff软件基础用法和Diaphora开源工具。希望这篇文章对您有帮助，也推荐大家去阅读论文，且看且珍惜。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文简单介绍了PowerShell、Powershell恶意代码检测总结及抽象语法树（AST）提取，主要从论文的角度讲解。这篇文章将详细介绍抽象语法树的抽取方法，通过官方提供的接口实现，包括抽象语法树可视化和节点提取。希望这篇文章对您有帮助，也推荐大家去阅读论文，且看且珍惜。...

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文分享了PowerShell和PowerSploit脚本攻击，进一步结合MSF漏洞利用来实现脚本攻击。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树（AST）提取。希望这篇文章对您有帮助，也推荐大家去阅读论文，且看且珍惜。...

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文分享了Powershell基础入门知识，涉及条件语句、循环语句、数组、函数 、字符串操作、注册表访问等。这篇文章将详细讲解PowerShell和PowerSploit脚本攻击，进一步结合MSF漏洞利用来实现脚本攻击。希望这篇文章对您有帮助，更希望帮助更多安全或红蓝对抗的初学者，且看且珍惜。本文参考徐焱老师的《Web安全攻防渗透测试实战指南》著作，谢公子博客，并结合作者之前的博客和经验进行总结。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文分享了Powershell基础入门知识，涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。这篇文章将从Powershell条件语句、循环语句、数组、函数 、字符串操作、注册表访问等方面讲解。Powershell被广泛应用于安全领域，甚至成为每一位Web安全必须掌握的技术，希望你们喜欢。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文带领大家了解Metasploit技术，涉及后渗透相关的技术，包括信息收集、权限提权、移植漏洞模块和后门。这篇文章详细讲解Powershell基础入门知识，包括常见的用法，涉及基础概念、管道和重定向、执行外部命令、别名用法、变量定义等。Powershell被广泛应用于安全领域，甚至成为每一位Web安全必须掌握的技术。基础性文章，希望对您有所帮助。

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文带领大家了解Metasploit技术，它和CS都是APT攻击中常见的方式，并结合作者之前的漏洞利用及WannaCry逆向经验总结。这篇文章继续带领大家深入Metasploit技术，涉及后渗透相关的技术，包括信息收集、权限提权、移植漏洞模块和后门。同时，结合作者之前的漏洞利用及WannaCry逆向经验总结。希望这篇文章对您有所帮助~

系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文讲解了APT攻击中常用的攻击手段，即PowerShell和PowerSploit脚本攻击，并进一步结合MSF漏洞利用来实现脚本攻击。这篇文章将带领大家了解Metasploit技术，它和CS都是APT攻击中常见的方式，并结合作者之前的漏洞利用及WannaCry逆向经验总结。希望这篇文章对您有帮助！

系统安全系列文章会更加聚焦，更加系统，想更好地帮助初学者了解病毒逆向分析和系统安全。前文带大家学习了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源。这篇文章将从学术角度去普及和总结一个新的概念——溯源图，文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容，花了作者一个多月时间。希望这篇文章对您有所帮助，这些大佬是真的值得我们去学习，献上小弟的膝盖~

前文尝试了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。基础性文章，希望对您有所帮助~

前文从总结基于机器学习的恶意代码检测技术，主要参考郑师兄的视频总结，包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础，基础性文章，希望对您有所帮助~

前文从总结恶意代码检测技术，包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术，主要参考郑师兄的视频总结，包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时，我再结合自己的经验进行扩充，详细分享了基于机器学习的恶意代码检测技术，基础性文章，希望对您有所帮助~

前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识，在学术界方面，用类似于综述来介绍攻击追踪溯源的不同方法；在产业界方面，主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术，包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助，如果文章中存在错误、理解不到位或侵权的地方，还请告知作者与海涵。且看且珍惜，加油~

前文分享了逆向知识，利用Cheat Engine工具逆向分析游戏CS1.6，并实现无限子弹功能。这篇文章将结合作者的《系统安全前沿》作业，论文及绿盟李东宏老师的博客及宋老师的论文，从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面，用类似于综述来介绍攻击追踪溯源的不同方法；在产业界方面，主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少，希望这篇文章对您有所帮助，如果文章中存在错误、理解不到位或侵权的地方，还请告知作者与海涵。且看且珍惜，加油~

前文分享了外部威胁防护和勒索病毒对抗，带领大家看看知名安全厂商的威胁防护措施，包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。这篇文章将回到逆向知识，利用Cheat Engine工具逆向分析游戏CS1.6，并实现无限子弹功能。基础性文章，希望对您有所帮助，如果存在错误、侵权或不足之处，还望告知，加油！

2019年7月，我来到了一个陌生的专业——网络空间安全专业。作为一个长期以Python数据挖掘和NLP方向为主的学生，突然换大方向，去从事系统安全和逆向分析的研究，还是挺难的，这两年的过程也极其艰辛。依稀记得，换专业当天我下定决心：希望利用未来四年时间，深入学习安全技术，学会撰写高质量论文，并通过分享让更多的初学者了解和入门安全领域。更期盼博士早日毕业，回到家乡贵州继续从事安全技术和大数据分析的教学。

前文分享了WannaCry勒索病毒逆向分析，主要通过IDA和OD逆向分析蠕虫传播部分。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》，带领大家看看知名安全厂商的威胁防护措施，包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章，希望对您有所帮助，如果存在错误、侵权或不足之处，还望告知，加油！

前文分享了WannaCry勒索病毒逆向分析，主要通过IDA和OD逆向分析蠕虫传播部分。这篇文章将继续详细讲解WannaCry蠕虫的传播机制，带领大家详细阅读源代码，分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月，一方面觉得自己技术菜，另一方面深知系统安全需要坚持，继续加油。希望文章对您有所帮助~

前文分享了MSF利用MS17-010漏洞进行反弹Shell，再上传勒索病毒，复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒，主要通过IDA和OD逆向分析蠕虫传播部分，详细讲解蠕虫是如何感染传播的。同时，由于作者技术真的菜，只能叙述自己摸索的过程，如果存在错误或不足之处，还望告知。希望这篇基础性文章对您有所帮助~

作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒，并实现对Win7文件加密的过程，但过程较为复杂，为什么不直接利用永恒之蓝呢？所以，这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell，再上传勒索病毒进行实验复现，并详细讲解WannaCry勒索病毒的原理。基础性文章，希望对您有所帮助。

作者前文介绍了逆向分析之OllyDbg动态调试工具，包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识，最近WannaRen勒索软件爆发（下图是安天的分析攻击流程），其名称和功能与WannaCry相似，所以接下来作者将连续分享WannaCry勒索病毒的复现及分析，第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助，漫漫长征路，偏向虎山行。享受过程，一起加油~

作者前文介绍了OllyDbg动态调试工具的基本用法，包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具，包括INT3断点、反调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关，同样与我们身边常用的软件、文档、操作系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章，并结合自己的经验和实践进行撰写，在此感谢这些大佬们。