- 博客(6)
- 收藏
- 关注
原创 病毒木马查杀实战第011篇:QQ盗号木马之专杀工具的编写
一、前言 由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了。 二、原理讨论 对于本病毒而言,其最大的特色就在于使用了进
2014-12-27 00:53:43 3865 2
原创 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
一、前言按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生“先入为主”的心态,在分析反汇编代码的时候就能够比较顺利。本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六
2014-12-25 17:25:45 4181 1
原创 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
一、前言 之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo
2014-12-23 17:16:08 3984 10
原创 逆向工程第005篇:跨越CM4验证机制的鸿沟(下)
一、前言 本文是逆向分析CM4系列的最后一篇,我会将该游戏的序列号验证机制分析完毕,进而编写出注册码生成器。 二、分析第二个验证循环 延续上一篇文章的内容,来到如下代码处:图1 上述代码并没有特别需要注意的地方,只是知道了接下来的循环需要执行4次。下面就是重要的验证部分:图2 这是注
2014-12-18 00:24:19 2498
原创 逆向工程第004篇:跨越CM4验证机制的鸿沟(中)
一、前言 在上一篇文章的最后,我已经找出了关键的CALL语句,那么这篇文章我就带领大家来一步一步地分析这个CALL。我会将我的思路完整地展现给大家,因此分析过程可能略显冗长,我会分为两篇文章进行讨论。在整个分析过程中,我也会把我所遇到的瓶颈展示出来,毕竟我在实际分析时,也并不是一帆风顺的,遇到瓶颈属于正常情况,关键是在于应该怎么解决。考虑到绝大部分读者手中应该是没有CM4这款游戏
2014-12-17 22:59:39 2048
原创 书评第004篇:《恶意代码分析实战》
随便在哪家网上书城进行搜索可以知道,在计算机安全类,特别是恶意代码分析领域的书籍可谓是凤毛麟角。如果哪位读者对于恶意代码分析有浓厚的兴趣,要么是去一些大型的安全类论坛看他人的分析报告,要么是在众多的安全类书籍中,东找一点西凑一点地进行学习。这也就说明了市面上确实少有专门针对于恶意代码分析的,以实战为主的书籍。而对于我这样的初学者而言,由于我希望成为一名反病毒工程师,因此我特别想能够阅读到在安全领域有着丰富经验的大牛的作品。而现实中的大牛往往很忙,大部分也不愿意将自己的经验记录下来。于是这就出现了学习的瓶颈,
2014-12-11 23:56:09 3468 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人