恶意软件分析
文章平均质量分 59
magictong
欢迎转载,但希望留下点痕迹,谢谢^_^
展开
-
108.exe下载器分析报告
108.exe下载器分析报告 P.S.这块刚刚才入门,比较粗糙,请多多指教。更新样本下载链接:http://download.csdn.net/detail/magictong/3898092基本信息文件名:108.exeMD5:d7d7b22d096fc1568d5781e2df614734属性:16372字节,无签名调试运行环境:XPSP3调试原创 2011-12-06 16:22:13 · 2755 阅读 · 0 评论 -
灰鸽子分析报告
灰鸽子分析报告 magictong 2012/2 一、样本基础信息 MD5:cf6d4d8250e4ba8b5fe87fa4eb940ea8 大小: 300,703 字节 文件名:999.v 壳信息:NsPack 解壳后信息:Borland Delphi 6.0 - 7.0 其它原创 2012-02-22 13:51:13 · 5753 阅读 · 1 评论 -
某对抗型下载器分析报告
某对抗型下载器分析报告 magictong 一、样本基础信息MD5:7e130014aa5af499271156a3d0166026大小:64,512 字节文件名:7e130014aa5af499271156a3d0166026.exe 其它:无签名,无壳(释放的文件也无壳)调试运行环境:XPSP3调试工具:OD IDA PEID原创 2012-03-24 12:52:53 · 3509 阅读 · 0 评论 -
神秘的call $+5 pop eax
在进行病毒分析时,或者调试漏洞的shellcode时,经常看到标题中的指令流(E800000000 58,第二条肯定是pop指令,但是目的寄存器不一定是eax),这是干什么的呢? 看起来貌似很神秘,其实结合前后代码的意图可以知道(进行实时调试),最终eax中存放的数据是0x00413935(就上面的代码),而这个0x00413935,恰好就是pop eax指令的地址,因此实际原创 2012-05-28 20:03:44 · 6799 阅读 · 3 评论 -
Metasploit安裝時要注意的幾個問題
Metasploit下載地址(現在的最新版本是4.3):http://www.metasploit.com/download/ 安裝環境:Windows XP SP3 無安全軟件 最近要進行一些POC的測試,需要裝在一台物理機上面,以前都是直接把別人裝好的MSF直接整個虛擬機拷貝過來使用,反正是工具性質的,問題也不大。在安裝要注意以下幾個問題。原创 2012-05-18 14:38:47 · 3948 阅读 · 1 评论 -
ShellCode的调试方法和常见问题的解决方法
ShellCode的调试方法和常见问题的解决方法 ShellCode的调试方法,我这里总结了四种方法,其实原理都一样,就是通过几种指令的组合,把EIP改为shellcode的地址,然后跳到shellcode去执行,再调试shellcode。代码如下://ShellCodeDebug.cpp : Defines the entry point for the console applic原创 2012-07-20 16:23:20 · 6585 阅读 · 4 评论