《恶意代码分析实战》--第一章：静态分析基础技术

Angelki

于 2018-09-13 20:25:36 发布

阅读量1.9k

点赞数 1

分类专栏： book

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/qq_15727809/article/details/82663138

版权

**请参考大神的链接：https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程**2、用PEtools打开，查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒4，用dependency walker工具打开 ...

摘要由CSDN通过智能技术生成

**请参考大神的链接：https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox
Lab1-1
这里我只是记录我的学习过程**

2、用PEtools打开，查看日期
.exe
这里写图片描述
.dll

发现.exe和.dll两个文件的编译时间只相差了19秒

4，用dependency walker工具打开
这里写图片描述

从图中可以看出恶意代码执行了一些文件操作行为。创建文件（CreateFileA）,查找文件（FindFirstFileA,FindNextFileA）,复制文件（CopyFileA）,创建内存映射对象（CreateFileMap

最低0.47元/天解锁文章

关注

1
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
《恶意代码分析实战》--第一章：静态分析基础技术

**请参考大神的链接：https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程**2、用PEtools打开，查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒4，用dependency walker工具打开 ...
复制链接

扫一扫

专栏目录

Angelki CSDN认证博客专家 CSDN认证企业博客

码龄10年

46: 原创

10万+: 周排名

184万+: 总排名

13万+: 访问

: 等级

1530: 积分

31: 粉丝

50: 获赞

49: 评论

192: 收藏

私信

关注

热门文章

分类专栏

Crackme 7篇
tuoke
Shelling 3篇
Python 4篇
book 10篇
CTF 2篇
0day 11篇
逆向工程核心原理 3篇
Android软件安全与逆向分析 1篇
CVE 1篇
PWN 3篇
ctfwiki 5篇

最新评论

ctfwiki--堆初始化
CSDN-Ada助手: 非常感谢CSDN博主分享的“ctfwiki--堆初始化”技术文章，这篇博客讲解的非常清晰明了，对于刚接触堆的同学来说是非常有帮助的。我觉得下一篇博客可以继续深入探讨堆相关的问题，比如堆排序、堆的应用等等，这样的技术文章对其他用户也会非常有帮助。相信CSDN博主的文章会越来越受到读者的欢迎和喜爱。期待更多精彩的文章分享！为了方便博主创作，提高生产力，CSDN上线了AI写作助手功能，就在创作编辑器右侧哦～（https://mp.csdn.net/edit?utm_source=blog_comment_recall ）诚邀您来加入测评，到此（https://activity.csdn.net/creatActivity?id=10450&utm_source=blog_comment_recall）发布测评文章即可获得「话题勋章」，同时还有机会拿定制奖牌。
Android新手--将smali文件编译成dex文件出错，求解答！！！！！
橘子西瓜: 看我的代码，我试了可以额
Android新手--将smali文件编译成dex文件出错，求解答！！！！！
橘子西瓜: .class public LHelloWorld; .super Ljava/lang/Object; .method public static main([Ljava/lang/String;)V .registers 4 #程序中使用v0, v1, v2 寄存器与一个参数寄存器 # .paramter .prologue # 代码起始指令 #空指令 nop nop nop nop #数据定义指令 const/16 v0, 0x8 const/4 v1, 0x5 const/4 v2, 0x3 #数据操作指令 move v1, v2 #数组操作指令 new-array v0, v0, [I array-length v1, v0 #实例操作指令 new-instance v1, Ljava/lang/StringBuilder; #方法调用指令 invoke-direct {v1}, Ljava/lang/StringBuilder;-><init>()V #跳转指令 if-nez v0, :cond_0 goto :goto_0 :cond_0 #数据转换指令 int-to-float v2, v2 #数据运算指令 add-float v2, v2, v2 #比较指令 cmpl-float v0, v2, v2 #字段操作指令 sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream; const-string v1, "Hello World" #构造字符串 #方法调用指令 invoke-virtual {v0, v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V #返回指令 :goto_0 return-void .end method 我这个可以
Python 字符串与十进制的转换
这个总没人用吧: binascii.b2a_hex()返回的是一个16进制的Bytes，之后使用int(i, base)，当指定base =16时，i 应该是str，比如int("22", 16) 结果是34，如果直接将binascii.b2a_hex()的结果传给int的第一个参数，那么结果是不对的。以下是代码验证 [code=python] import binascii import sys print(int(binascii.b2a_hex(b"45"), 16))#13365 print(int.from_bytes(b"45", byteorder= sys.byteorder))#13620,这个是正确的 [/code]
Python学习--自己编写一个有界面的嗅探器
qq_50314301: 楼主，你的链接怎么打不开

最新文章

目录

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。