- 博客(6)
- 收藏
- 关注
RSS订阅原创 Windbg 保存字体设置
序言保存字体的设置,找了好久都没找到,在国外的某论坛找到了,翻译如下。步骤View->Option->Wrokspace Prompts 改为Always Ask删除WorkSpace,所有的都删除修改成你想要的字体4.关闭Windbg,会弹出一个对话框,勾选,点击YES....
2019-05-26 21:16:19
1475
1
原创 某木马分析-02
序言接着上回分析,这回分析释放出来的EXE文件.功能设置服务名对应的处理函数.函数分析0x401D00GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...
2019-05-06 11:03:20
270
原创 某木马分析-01
序言在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待.总体分析程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务.主程序1.WinMain.../* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...
2019-05-05 21:38:26
444
原创 LPK木马分析-03
序言前面分析是主程序, 下面分析载荷, 将lpk.dll传播至每个含有exe文件夹中.总览BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved){ BOOL result; // eax@9 if ( fdwReason == 1 ) { hModul...
2019-05-03 19:43:16
429
原创 LPK木马分析-02
序言接着上回的分析, 分析另外三个重要函数,这三个函数除了域名不一样, 没什么太大差别, 所以只分析一个即可.StartAddress获取函数 v0 = LoadLibraryA("kernel32.dll"); GetProcAddress(v0, &ProcName); v1 = LoadLibraryA("kernel32.dll"); GetT...
2019-05-02 21:55:09
253
原创 LPK木马分析-01
序言在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用.WinMainint __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...
2019-05-02 20:16:27
466
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人