- 博客(3)
- 收藏
- 关注
RSS订阅原创 IDA静态分析学习
切换到界面视图,call表示调用函数,call gethostbyname即调用getbyhostname函数,push eax表示把什么给eax赋值,再往上mov eax,off_10019040表示把全局变量复制到到eax(off_或dword_后面带地址一般是全局变量)通过创建进程的方式来运行“cmd /c.xxx”命令,xxx是远程shell命令,如cmd /c ipconfig。同样复制地址跳转,绿框内即为局部变量和参数,其中带“-”的都是局部变量,共有23个,最后一个不是局部变量。
2026-03-04 13:28:53
321
原创 恶意代码分析学习记录
互斥对象有一个特殊的属性:一旦某一个进程成功创建或打开一个命名互斥对象,其它尝试创建相同命名互斥对象的进程将无法再次创建,而只能打开这个已存在的互斥对象。打开StudyPE+,拖入.exe文件查壳,在文件类型这地方会显示壳的特征,而需要注意的是如果程序没有加壳,那么他会直接显示出开发的语言,当然还有第三种情况就是会显示Unknow Exe Type,在这里可以看到其使用VC6++开发。有个"BIN"的资源,并且文件头是以MZ开头,可以确定他是一个PE文件,用右键功能将其导出,再次使用study PE+
2026-03-02 01:34:42
675
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人