Windows病毒分析
文章平均质量分 91
Fly20141201
做真实的自己,不为别人而活;做自己喜欢的事,努力、踏实~
展开
-
淘宝欺骗病毒的鉴定--TaBAccelerate.dll
样本名称:TaBAccelerate.dll样本大小:1135104 字节样本MD5:7AEF6EEECB37685D17F3D9BD76FA9EA0样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C一、查壳在样本的分析和鉴定的时候,不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析,推荐先用查壳软件原创 2015-05-05 15:53:37 · 3573 阅读 · 0 评论 -
Backdoor.Zegost木马病毒分析(一)
http://blog.csdn.net/qq1084283172/article/details/50413426一、样本信息样本名称:rt55.exe样本大小: 159288 字节文件类型:EXE文件病毒名称:Win32.Backdoor.Zegost样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510样本SHA1:16E95原创 2015-12-27 18:39:01 · 5210 阅读 · 0 评论 -
一个DDOS病毒的分析(二)
一、基本信息样本名称:hra33.dll或者lpk.dll样本大小: 66560 字节文件类型:Win32的dll文件病毒名称:Dropped:Generic.ServStart.A3D47B3E样本MD5:5B845C6FDB4903ED457B1447F4549CF0样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03原创 2015-08-31 14:50:00 · 2775 阅读 · 0 评论 -
一个DDOS病毒的分析(一)
一、基本信息样本名称:Rub.EXE样本大小:21504 字节病毒名称:Trojan.Win32.Rootkit.hv加壳情况:UPX(3.07)样本MD5:035C1ADA4BACE78DD104CB0E1D184043样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成:病毒母体文件Rub.EX原创 2015-08-20 11:13:54 · 4785 阅读 · 6 评论 -
一个DDOS木马后门病毒的分析
一、样本信息文件名称:803c617e665ff7e0318386e24df63038文件大小:61KB病毒名称:DDoS/Nitol.A.1562MD5:803c617e665ff7e0318386e24df63038Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c 二、样本行为0x1.打开与当前病毒进程原创 2015-10-21 18:36:21 · 6185 阅读 · 0 评论 -
一个感染型木马病毒分析(一)
一、 样本信息样本名称:resvr.exe(病毒母体)样本大小:70144 字节病毒名称:Trojan.Win32.Crypmodadv.a样本MD5:5E63F3294520B7C07EB4DA38A2BEA301样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895电脑中了该病毒的典型的特原创 2015-08-04 19:00:03 · 6718 阅读 · 4 评论 -
PE文件加节感染之Win32.Loader.bx.V病毒分析
一、病毒名称:Win32.Loader.bx.V二、分析工具:IDA 5.5、OllyDebug、StudPE三、PE病毒简介:PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个原创 2015-04-15 22:17:02 · 2631 阅读 · 2 评论 -
PE文件附加数据感染之Worm.Win32.Agent.ayd病毒分析
一、基本信息样本名称:1q8JRgwDeGMofs.exe病毒名称:Worm.Win32.Agent.ayd文件大小:165384 字节文件MD5:7EF5D0028997CB7DD3484A7FBDE071C2文件SHA1:DA70DDC64F517A88F42E1021C79D689A76B9332D二、分析样本使用的工具IDA5.5OnlyDebugRadAS原创 2015-04-16 16:56:26 · 2056 阅读 · 0 评论 -
一个感染性木马病毒分析(三)--文件的修复
一、 序言前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。 二、文件感染方式的分析之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和原创 2015-08-12 20:13:29 · 4936 阅读 · 4 评论 -
一个感染型木马病毒分析(二)
作者:龙飞雪0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。 0x2病毒木马性的分析---远程原创 2015-08-12 17:50:02 · 4410 阅读 · 2 评论 -
一个感染型的病毒逆向分析
作者:Fly2015其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。对于代码的具体分析:关键原创 2015-07-16 19:21:25 · 3623 阅读 · 5 评论 -
感染性的木马病毒分析之样本KWSUpreport.exe
一、病毒样本简述初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport.原创 2015-05-23 11:21:12 · 3179 阅读 · 2 评论 -
Word/Excel文档伪装病毒-kspoold.exe分析
一、 病毒样本基本信息样本名称:kspoold.exe样本大小: 285184 字节样本MD5:CF36D2C3023138FE694FFE4666B4B1B2病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.d原创 2015-05-22 09:52:35 · 3816 阅读 · 0 评论 -
针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析
一、事件回放网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键原创 2015-05-13 10:58:49 · 3723 阅读 · 1 评论 -
CTB-Locker敲诈者病毒下载器分析
一、 样本基本信息样本名称:927354529512.scr样本大小:110592 字节病毒名称:Win32.Trojan.Ctb-locker.Auto样本MD5值:3A6D7E551C132AC4C40D95394938F266 二、 样本脱壳该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的原创 2015-05-16 14:00:05 · 2846 阅读 · 0 评论 -
CTB-LOCKER敲诈者病毒下载器脱壳之样本1
一、病毒简介CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。原创 2015-05-06 16:02:16 · 2770 阅读 · 0 评论 -
PE文件格式偏移参考
在进行PE文件格式病毒分析的时候,经常要使用到PE文件格式的解析,尤其是对LoadPE形式的病毒的分析,经常要查看PE文件格式的偏移,特地从博客《PE文件格式的偏移参考》中转载收录一份,之前在网上也看到比较不错的有关PE文件偏移的博客,但忘了收录。在进行PE文件格式的病毒分析时,还会经常参考这篇博客《PE文件格式学习笔记》,博主关于PE文件格式的学习笔记写的不错,其他的参考书籍《加密与解密(第3版...转载 2018-07-20 12:18:36 · 1112 阅读 · 2 评论