- 博客(17)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 如何分析各种类型的恶意样本之--C#类型样本分析
文章目录概述详细分析样本自身功能分析dump到的dll分析新恶意代码分析熟悉的C++程序分析IOCsIOCs转载我自己的博客hskull.cn,欢迎进入来我的博客家园做客。日常样本分析中,我们会遇到各式各样的语言所编写的恶意样本。除了最基础的C/C++之外,使用C#、python、VBScript、Office宏、PowerShell来构造恶意代码也较为常见。为了让新入门者对各种类型样本的代码结构和分析流程都进行一次了解,我构思了如下系列文章《如何分析各种类型的恶意样本》来进行讲解,希望可以帮到大
2021-01-02 00:18:34
1094
原创 适合新手的分析报告-01
最近一段时间由于刚入职,所以分析了各种不同类型的一些恶意样本,这些样本可以作为一个新手进行样本分析学习的练手样本,现在将我自己的心得分享出来,希望对大家有所帮助。
2020-07-16 10:42:27
658
1
原创 WannaCry勒索病毒分析
文章目录病毒概述样本信息病毒行为分析静态分析使用LoadPE进行分析资源查看动态分析可视行为进程查看注册表操作文件操作网络监控详细分析wcry.exe样本程序分析WinMain函数SetRegeditFreeResourceFileWriteFileCwnryStartCommandGetApiCInitSectionKeyImportAndMemAllocDecryptFileGetFunAdd...
2020-02-24 17:46:45
3035
原创 内核与驱动_09_串口过滤原理及代码
文章目录过滤的概念设备绑定的内核API之一绑定示例设备绑定的内核API之二生成过滤设备并绑定从名字获得设备对象绑定所有串口代码完整代码过滤的概念过滤–是一个极其重要的概念。它是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能的技术。串口通信(Serial Communications):就是串口按位(bi...
2020-02-17 22:33:27
523
原创 内核与驱动_08_键盘驱动原理及代码
文章目录技术原理Windows中从击键到内核流程键盘硬件原理键盘过滤的框架搭建应用设备扩展键盘过滤模块的动态卸载键盘过滤的请求处理通常的处理PNP的处理读的处理读完成的处理从请求中打印出按键信息从缓冲区中获得KEYBOARD_INPUT_DATA从KEYBOARD_INPUT_DATA中得到键从MakeCode得到实际字符完整代码技术原理Windows中从击键到内核打开任务管理器,可以看到...
2020-02-17 22:29:01
2323
1
原创 内核与驱动_07_64-32位差异
文章目录概述64位系统新增机制WOW64子系统文件系统重定向器注册表系统重定向器PathGuard技术64位驱动编程差异汇编嵌入变化数据结构调整数据结构调整概述64位系统现在已经可以说是最主要的使用系统了,开发者在开发内核模块时需要同时考虑在两者之上兼容运行的必要。所以认识64位系统和32位系统的编程差异是很重要的。64位系统新增机制WOW64子系统WOW64子系统(Window...
2020-02-17 22:23:17
560
原创 CVE-2012-0158分析
0x00 漏洞描述CVE-2012-0158 Microsoft Office MSCOMCTL.ocx栈溢出漏洞是Office的经典漏洞,作为Office的入门漏洞,这个漏洞很有学习价值漏洞成因是由于Microsoft Windows的MSCOMCTL.OCX插件中的MSCOMCTL.TreeView、MSCOMCTL.LstView2、MSCOMCTL.TreeView2、MSCOMCT...
2020-02-17 22:04:38
775
原创 内核与驱动_06_时间与定时器
文章目录获取当前“滴答”数获取当前系统时间使用示例定时器书中封装的定时器获取当前“滴答”数获取系统日期和时间往往是为了写日志,获得启动毫秒数则常用来做随机数种子。有时也使用时间相关的函数来寻找程序的性能瓶颈。在内核中有一个函数KeQueryTickCount,返回系统自启动之后经历的毫秒数。VOID KeQueryTickCount( OUT PLARGE_INTEGE...
2020-02-14 17:06:16
279
原创 内核与驱动_05_注册表
文章目录注册表操作常用API基础操作打开:读:写驱动中注册表使用高级操作-遍历注册表注册表操作与应用程序编程的方式类似,注册表是一个巨大的树形结构,操作一般都是打开某个子健,子健下有若干个值可以获得,每一个值有一个名字。子健一般用一个路径来表示,与应用程序编程不同的是这个路径的写法不一样,在应用编程中需要提供一个根子健的句柄,而驱动编程中则需要全部用路径表示。下述是一个根子健句柄与内核注...
2020-02-14 17:03:25
873
2
原创 内核与驱动_04_文件操作
文章目录文件操作概述使用OBJECT_ATTRIBUTES打开和关闭文件打开文件文件读/写操作读写使用示例遍历文件文件操作概述在内核中也是可以操作文件的,在用户层中我们操作文件是会提供一个路径,但是在内核中,我们需要在路径前加上\\??\\。使用OBJECT_ATTRIBUTES在内核中进行文件操作时并不直接接受一个字符串路径,使用者必须首先填写一个OBJECT_ATTRIBUTE...
2020-02-14 17:00:25
732
原创 内核与驱动_03_自旋锁
文章目录几个常见的锁读写锁互斥锁自选锁使用队列自旋锁提高性能几个常见的锁多线程中如链表等数据结构的同步问题是进行驱动开发时必须所考虑到的问题,这个时候就必须使用到锁。读写锁特点:读写所有三种状态:读加锁状态、写加锁状态和不加锁状态。其中,只有一个线程可以占有写状态的锁,但是可以有多个线程占用读状态的锁,这也是它可以实现高并发的原因。当其处于写状态锁下,任何想要尝试获得锁的线程...
2020-02-14 16:49:51
585
原创 内核与驱动_03_内存、链表与字符串
文章目录内存内存的分配与释放链表字符串操作使用字符串结构字符串的初始化字符串拷贝字符串的连接字符串打印内存内存的分配与释放内存泄漏是一个长久的顽固问题,不论是用户层程序开发还是内核开发,都需要主要这个问题。在驱动中进行内存分配最常用的函数是ExAllocatePoolWithTag,下面是一个使用示例NTSTATUS status=NULL;//定义一个分配内存标记//这里要注意...
2020-02-14 16:46:48
260
原创 长文预警-超详细的熊猫烧香病毒分析_01
书接上文,接下来就是使用IAT、OD进行病毒汇编代码的详细分析:上文链接:[长文预警-超详细的熊猫烧香病毒分析_01]2.IAT-OD双剑合璧为了更好的分析,可以先使用IAT的签名工具来更好的识别库代码在IDA中Shift+F5打开签名窗口,ins快捷键打开签名库,Ctrl+F找到Delphi的特征库,然后加载。我们使用IDA和OD联合分析的手段对病毒样本进行分析:...
2020-02-02 21:52:00
1234
原创 长文预警-超详细的熊猫烧香病毒分析_00
背景介绍恶意代码主要的几种类型:Virus(感染型病毒,侵入程序中)Worm(蠕虫病毒,传播性)Trojan(木马,远程控制,盗取账号信息等)Ransomware(勒索软件,加密文档,勒索比特币等)API(高级持续性攻击木马,窃取机密信息等)恶意代码案例概述熊猫烧香是一款具有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中的exe,com,pif,s...
2020-02-02 21:28:42
1572
原创 内核与驱动_00_内核编程基础知识
内核编程环境概述在Windows下,32为系统中每个进程都有其自身享有的4GB内存空间,每个进程的内存空间都是相互隔离的。其中低2GB是用户空间,高2GB是内核空间。原则上,每个进程的高2GB内核空间内的数据是共享的,即绝大部分都是一样的。而内核空间是受到硬件保护的,比如在x86架构下R0层(Ring0)的代码才可以访问内核空间,普通的应用程序编译出来后都运行在R3层,R3层程序要调用R0...
2020-02-02 20:29:45
1187
CVE-2012-0158 PoC
2020-02-17
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人