恶意代码分析实战
文章平均质量分 78
cat&seven
这个作者很懒,什么都没留下…
展开
-
pe植入shellcode
shellcode是一个弹窗,为:fc686a0a381e686389d14f683274910c8bf48d7ef433dbb7042be366bb33325368757365725433d2648b5a308b4b0c8b491c8b098b6908ad3d6a0a381e750595ff57f895608b453c8b4c057803cd8b592003dd33ff478b34bb03f5990fbe063ac47408c1ca0703d046ebf13b54241c75e48b592403dd66原创 2021-11-29 16:27:35 · 635 阅读 · 0 评论 -
恶意代码分析实战 Lab10-01
Lab 10-01本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys.问题1.这个程序是否直接修改了注册表? 修改了。2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的原创 2021-07-15 14:12:16 · 637 阅读 · 0 评论 -
恶意代码分析实战 1.10实验
Lab 1-11:lab 1-1.exe:lab 1-1.dll:2:lab 1-1.exe:lab 1-1.dll:3:lab 1-1.exe:lab 1-1.dll:4:进行了文件、互斥量相关的操作。5:能够看到文件方面的操作,可以看到kernel32.dll和kerne132.dll,字符串“WARNING_THIS_WILL_DESTROY_YOUR_MACHINE”6:可以看到一个ip:127.26.152.137:复制文件到system32下原创 2021-07-11 15:36:53 · 173 阅读 · 0 评论