2019年03月_Hvnt3r

原创恶意代码行为

知识点本章中会介绍恶意代码常见的恶意行为，方便我们识别各种各样的恶意程序。**下载器和启动器：**常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码，然后在本地系统中运行，通常使用WindowsAPI函数URLDownloadtoFileA和WinExec，来下载并运行新的恶意代码。启动器也成为加载器，是一类可执行文件，用来安装立即运行或者将来运行的恶意代码。**后门：*...

2019-03-24 16:26:20 3268 1

原创使用WinDbg调试内核

知识点WinDbg是微软提供的一个免费调试器，支持内核调试，也具有监控Windows系统交互的功能。**驱动与内核代码：**Windows设备驱动简称为驱动，他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存，并且负责响应用户态程序的请求，而且应用程序不直接与驱动程序通信，而是直接访问设备对象，向具体的物理设备发送请求。设备对象由驱动程序创建和销毁，可以被用户态的程序直接访...

2019-03-24 16:25:46 3249

原创 OllyDbg使用方法

知识点**加载恶意代码：**OD可以直接加载可执行文件，也可以加载DLL文件，也可以将调试器附加在进程中，我们甚至可以用命令行运行恶意代码或者执行DLL中的某个函数。**加载可执行文件：**在加载可执行文件的时候OD会使用它的加载器来加载这个程序，并可在此过程选择运行的命令行参数。如果OD能确定程序的main函数就在main处中断，否则在程序PE头提供的程序入口点中断。**附加调试器到一个程...

2019-03-24 16:25:15 6309

原创分析恶意Windows程序

知识点多数恶意代码运行在Windows上，因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象，本章会介绍一些恶意代码使用Windows功能的独特方式，并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。**Windows API：**Windows API是一个广泛的功能集合，管理着恶意代码与微软程序库之间的交互方式，Windows API使用他自己...

2019-03-24 16:24:36 966

原创识别汇编中的C代码结构

识别汇编中的C代码结构本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码，帮助我们快速的提升形成恶意代码功能的高级视图的能力**全局变量|局部变量：**全局变量可以被程序中任意函数访问和使用，局部变量只能在它被定义的函数中访问，在汇编代码中，全局变量通过内存地址引用，而局部变量通过栈地址引用。**识别if语句：**有if语句一定存在跳转，但是有跳转不一定是if语句，if语句前有一...

2019-03-10 14:15:46 819

原创动态分析基础技术

动态分析基础技术原文链接：https://hvnt3r.top/2019/01/动态分析基础技术/知识点与静态分析不同，动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程，一般来说，对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节，静态分析与动态分析都有各自的有点以及局限性，本章重点介绍了动态分析的一些手法和技巧。**用沙箱来分析恶...

2019-03-06 14:09:15 3815 1

原创静态分析高级技术

静态分析高级技术原文链接：https://hvnt3r.top/2019/03/静态分析高级技术/知识点本章内容为静态分析高级技术，知识点内容较多，很多知识点都是与x86体系结构下的指令等相关知识。**微指令|机器码：**微指令层又称为固件，微指令只能在特定的电路上执行，其通常由更高的机器码层翻译而来，提供了访问硬件的接口；机器码层由操作码组成，操作吗是一些十六进制的数字，机器码一般由多条...

2019-03-06 14:08:21 461

原创静态分析基础技术

静态分析基础技术原文链接：https://hvnt3r.top/2019/01/静态分析基础技术/知识点我觉得安全圈的思路都是差不多的，跟渗透测试一样，对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识，方便确定下一步工作的方向。**Virus Total：**首先，拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下，这样差不多能确定此恶意软件的最早爆...

2019-03-06 14:07:28 793

原创 ShellCode的编写和利用

ShellCode的编写和利用原文链接：https://hvnt3r.top/2018/10/Shell-code的编写和利用/在渗透测试和漏洞利用中，Shellcode是一个十分重要的部分，在二进制的安全研究中，Shellcode也充当着十分重要的角色，本文会记录我学习Shellcode的编写和利用原理。在程序中嵌入Shellcode并执行首先拿一道十分简单的PWN题来演示程序是如何执行...

2019-03-06 14:06:05 1306

原创二进制安全之NX绕过方法--ROP技术

二进制安全之NX绕过方法–ROP技术原文地址在之前的缓冲区溢出的实验中，溢出到栈中的shellcode可以直接被系统执行，给系统安全带来了极大的风险，因此NX技术应运而生，该技术是一种在CPU上实现的安全技术，将数据和命令进行了区分，被标记为数据的内存页没有执行权限，因此即使将恶意shellcode写入到执行流程中也会因缺少执行权限而利用失败，在一定程度上提高了系统的安全性，但是所有安全都是绝...

2019-03-06 14:04:05 2740

原创 Windows系统安全之SLMail缓冲区溢出漏洞复现

原文链接在我大二时任技术交流协会信安部部长时我曾给学弟学妹们介绍过这个关于SLMail的缓冲区溢出漏洞，给他们讲的原因是想扩展一下他们的知识面，现在我再重新温习一下这个漏洞来跟现阶段学习的Linux缓冲区漏洞做一个对比环境搭建首先需要搭建实验环境，系统可选用Windows_XP，因为Windows7及以上的系统内置了多种安全措施使得此漏洞难以利用，本实验用到的软件及下载链接如下：SLMa...

2019-03-06 14:01:31 2307 2

原创 CSAW CTF 2016 PWN quals-warmup

CSAW CTF 2016 PWN quals-warmup原文链接先对文件有个大致的了解，是64位ELF文件☁ csaw ctf 2016 quals-warmup lsexp.py flag.txt readme.txt warmup☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...

2019-03-06 13:59:51 2088

原创简单的栈溢出_hello_elf

简单的栈溢出_hello_elf原文地址：https://hvnt3r.top/2018/09/%E7%AE%80%E5%8D%95%E7%9A%84%E6%A0%88%E6%BA%A2%E5%87%BA-hello-elf/最近哥们问了我一道PWN题，觉得比较有代表性而且难度较低，就记录下来以作栈溢出的示例，仅从新手角度分析，大牛绕过题目地址：https://pan.baidu.com/s...

2019-03-06 13:57:43 584

Hvnt3r的博客