- 博客(20)
- 资源 (33)
- 收藏
- 关注
转载 Backdoor.Zegost木马病毒分析(一)
http://blog.csdn.net/qq1084283172/article/details/50413426一、样本信息样本名称:rt55.exe样本大小: 159288 字节文件类型:EXE文件病毒名称:Win32.Backdoor.Zegost样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510
2017-10-25 09:40:42 5266
转载 一个DDOS木马后门病毒的分析
http://blog.csdn.net/qq1084283172/article/details/49305827一、样本信息文件名称:803c617e665ff7e0318386e24df63038文件大小:61KB病毒名称:DDoS/Nitol.A.1562MD5:803c617e665ff7e0318386e24df63038
2017-10-25 09:39:45 1582
转载 一个感染型的病毒逆向分析
作者:Fly2015其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。对于代码的具体分析:
2017-10-25 09:38:11 1795 1
转载 感染性的木马病毒分析之样本KWSUpreport.exe
一、病毒样本简述初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe 是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUprepo
2017-10-25 09:37:09 631
转载 Word/Excel文档伪装病毒-kspoold.exe分析
一、 病毒样本基本信息样本名称:kspoold.exe样本大小: 285184 字节样本MD5:CF36D2C3023138FE694FFE4666B4B1B2病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文
2017-10-25 09:36:27 1003
转载 一个DDOS病毒的分析(二)
一、基本信息样本名称:hra33.dll或者lpk.dll样本大小: 66560 字节文件类型:Win32的dll文件病毒名称:Dropped:Generic.ServStart.A3D47B3E样本MD5:5B845C6FDB4903ED457B1447F4549CF0样本SHA1:42E93156DBEB527F6CC104372449D
2017-10-24 17:13:06 859
转载 一个DDOS病毒的分析(一)
一、基本信息样本名称:Rub.EXE样本大小:21504 字节病毒名称:Trojan.Win32.Rootkit.hv加壳情况:UPX(3.07)样本MD5:035C1ADA4BACE78DD104CB0E1D184043样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成:
2017-10-24 17:12:01 758
转载 一个感染性木马病毒分析(三)--文件的修复
一、 序言前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。 二、文件感染方式的分析之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取
2017-10-24 17:09:57 1601 1
转载 一个感染型木马病毒分析(二)
作者:龙飞雪0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。 0x2病毒木马性
2017-10-24 17:07:34 893
转载 一个感染型木马病毒分析(一)
一、 样本信息样本名称:resvr.exe(病毒母体)样本大小:70144 字节病毒名称:Trojan.Win32.Crypmodadv.a样本MD5:5E63F3294520B7C07EB4DA38A2BEA301样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895
2017-10-24 16:59:49 5145
转载 “大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,360QVM引擎团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。一、“大灰狼”的伪装以下是10月30日一天内大灰狼远
2017-10-24 16:17:36 10906 1
转载 windows下shellcode编写入门
0x00、介绍比方说你手头上有一个IE或FlashPlayer现成的漏洞利用代码,但它只能够打开计算器calc.exe。但是这实际上并没有什么卵用,不是吗?你真正想要的是可以执行一些远程命令或实现其他有用的功能。在这种情况下,你可能想要利用已有的标准shellcode,比如来自Shell Storm数据库或由Metasploit的msfvenom工具生成。不过,你必须先理解编写sh
2017-10-24 11:41:20 2665 3
转载 在内存中读取函数的ShellCode并执行
在内存中读取函数的ShellCode并执行下面是一个例子,实现的效果是将fun1函数的十六进制读取出来,在内存中将str1的地址改成str2,分配一块内存,将改好的函数的ShellCode写入并执行。[cpp] view plain copy// FunTest.cpp : 定义控制台应用程序的入口点。 // // #inc
2017-10-20 14:19:50 2127
转载 C语言执行shellcode的五种方法
#include "windows.h"#include "stdio.h" typedef void (_stdcall *CODE)();//一段打开Windows计算器(calc.exe)的shellcode unsigned char shellcode[] = "\xb8\x82\x0a\x8d\x38\xd9\xc6\xd9\x74\x24\xf4\x5a\x
2017-10-20 14:06:20 3678
转载 绕过360安全卫士的部分代码
利用快捷方式,由用户启动程序,进行绕过360父进程查杀,代码记录于此处,方便查阅[cpp] view plain copyint bypass_360_startup() { TCHAR str_desktop[256]; LPITEMIDLIST pidl; SHGetSpecia
2017-10-20 09:30:39 3871 2
转载 木马开机启动的六种方法
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。 一、通过"开始\程序\启动" 隐蔽性:2星 应用程度:较低 这也是一种很常见的方式,很多
2017-10-18 12:54:12 7528 2
转载 API Monitor(API监控工具)
概观API Monitor是一个免费软件,可以让你监视和控制应用程序和服务,取得了API调用。 它是一个强大的工具,看到的应用程序和服务是如何工作的,或跟踪,你在自己的应用程序的问题。产品特点64位支持 API监控支持监控的64位应用程序和服务。 64位版本只能用来监视64位应用程序和32位版本仅可用于监测的32位应用程序。 要监视在64位Windows的32位
2017-10-18 10:23:20 644
转载 C/C++添加设置任务计划
//////////////////代码测试N小时,呵呵~~在硬盘已经睡了好久////// VC++ 6.0 + SP6编译成功/////////#include #include #include #include #pragma comment(lib,"NETAPI32.LIB")void Jobadd(){DWORD JobId;AT_INFO ai;char *
2017-10-14 21:23:00 6566
转载 利用x64_dbg破解一个最简单的64位小程序
最近在研究学习一些逆向的东西,其实之前也涉及到这方面的东西,只是之前的系统和应用,基本上都是32位的,所以直接用od来分析就行了,这方面的资料在网上很多,随便一搜到处都是,不过随着技术的不断发展,64位系统出现了,随之64位的应用也出现了,而od只能分析32位应用,所以一些64位应用,od是没办法分析逆向的,所以,在这里要提到另一个可以用于分析64位应用的调试软件,名字叫x64_dbg。网上对于这
2017-10-12 14:18:19 19711 4
转载 简单感染PE文件
这个感染方式和win9x时代的CIH病毒感染方式很像。。。@PandaOS这个程序的感染标识放在了DOS头中。。。因为DOS头只有MZ和最后一个指向PE头的指针很重要,改了就完蛋了。。。别的几乎用不到所以修改DOS头的话,只要不修改首尾字段,几乎不会影响程序的运行。源程序感染后的感染前程序的入口感染后程序的入口只要搜索节中的空隙,然后将代码分成几
2017-10-08 02:49:01 1266
SSDTHook实现进程保护
2017-06-09
SkinSharp开发库+百款皮肤+皮肤编辑器
2017-05-24
minhook-1.3.2
2017-05-09
python2.7.8 32
2016-05-25
AStar 算法实例
2015-07-18
Visual Assist X补丁
2015-06-18
cmake-3.14.3-win64-x64.zip
2019-09-05
跨平台高性能TCP服务器框架 &boost;
2018-06-25
网狐IOCP压缩版
2018-06-22
用C++实现的壳
2017-09-14
像加载DLL一样加载EXE
2017-09-10
protobuf-2.61最新版
2017-08-28
Gh0stVC6到VS2010迁移所有问题的解决方法
2017-08-15
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人