桌面安全
houjingyi233
这个作者很懒,什么都没留下…
展开
-
Sorebrect勒索病毒分析报告
背景介绍AES-NI是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用AES执行加密和解密的速度。 如代码所示,将EAX寄存器设置为0之后执行CPUID指令返回的制造商标识存放在EBX,ECX和EDX寄存器中。如果既不是GenuineIntel的处理器也不是AuthenticAMD的处理器则认为该处理器不支持原创 2017-07-28 18:53:27 · 1899 阅读 · 0 评论 -
详解反虚拟机技术
恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机技原创 2016-10-21 11:29:39 · 18610 阅读 · 2 评论 -
ccleaner后门完全分析报告
2017年9月18日,piriform[1]和思科Talos团队[2]发布公告称piriform旗下产品CCleaner v5.33.6162和CCleaner Cloud v1.07.3191的32bit版本被植入后门。本文为该事件发生一个月以来我做的一个简单的回顾,包括搜集的各方信息汇总和个人的分析。Stage1在编译器增加的初始化代码中的__scrt_get_dyn_tls_init_call原创 2017-10-22 15:56:57 · 1932 阅读 · 0 评论 -
BadRabbit勒索病毒分析报告
近日一种新型勒索软件BadRabbit给多个东欧国家造成损害,同时影响200多个政府机构和私营企业。截至目前,俄罗斯、保加利亚和土耳其均遭受攻击。已证实的受害者包括乌克兰敖德萨机场、乌克兰基辅地铁系统、乌克兰基础设施部、三个俄罗斯新闻机构。乌克兰CERT团队已发布报告,警告乌克兰企业警惕此次攻击。以下是详细的技术分析。 病毒采用水坑攻击的方式传播,受害者下载虚假的flash安装更新包并启动后勒索病原创 2017-11-04 10:33:29 · 5241 阅读 · 0 评论 -
实践SEH攻击和虚函数攻击
试验工具:ollydbg(思考题程序见附件)实验环境:windows2000虚拟机1.目标(1)了解SEH攻击及虚函数攻击的基本原理。(2)通过调试SEH攻击代码,理解Windows异常处理机制,掌握针对SEH的攻击方式,并利用OllyDbg跟踪异常状态。(3)调试虚函数攻击代码,理解虚函数工作机制与内存分布方式,掌握基本的虚函数攻击与计算方式,并可以用OllyDbg追踪。原创 2017-01-25 20:36:03 · 3326 阅读 · 1 评论 -
0day安全软件漏洞分析技术读书笔记-windows2000的堆的工作方式(上)
空闲态堆块和占用态堆块的块首结构基本一致,只是将块首后数据区的前8个字节用于存放空表指针了。这8个字节在变回占用态时将重新分回块身用于存放数据。堆表中包含的信息依次是段表索引、虚表索引、空表使用标识和空表索引区。空表索引区:偏移0x178指向快表的指针:偏移0x5840x00360178指向0x00360688,而接下来其它的索引都是指向自身。00360170 0原创 2016-11-07 12:52:15 · 1157 阅读 · 1 评论 -
0day安全软件漏洞分析技术读书笔记-windows2000的堆的工作方式(下)
#include#includeint main(){ HLOCAL h1,h2,h3,h4; HANDLE hp; hp=HeapCreate(0,0,0); _asm int 3 h1=HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h2=HeapAlloc(hp,HEAP_ZERO_MEMORY,8); h3=HeapAlloc(hp,HEAP_ZER原创 2016-11-07 13:06:58 · 2310 阅读 · 0 评论 -
详解反调试技术
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反原创 2016-10-14 18:40:38 · 35830 阅读 · 5 评论 -
POP POP RET指令序列在绕过SafeSEH中的必要性
这篇文章的目的是解释POP POP RET指令序列的必要性。你经常读到或听到漏洞利用编写者搜索这个指令序列,因为它是它们的漏洞的一个重要部分。但为什么?什么对这个指令序列如此有用,它是如何使用的?这些将是我会尝试回答的问题。对于以下分析,我将假设在一台32位小端结构的机器上进行。我也会省略很多细节,以便只关注一些概念。还要记住,ESP( Extended Stack Pointer)是扩展堆栈翻译 2016-11-19 19:43:13 · 3437 阅读 · 1 评论