![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向工程
文章平均质量分 70
「已注销」
这个作者很懒,什么都没留下…
展开
-
强网杯-JustRe
Windows32位程序,无壳,编译器版本还算高。主函数除了CFG有点诡异外,流程十分简单。进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很不好看,直接调试看结果.text:00401682 060 movd xmm0, eax.text:00401686 060 pshufd xmm5,...原创 2019-05-28 02:36:42 · 1716 阅读 · 0 评论 -
分析wannacry——启动器
废话两年过去了,两年前还啥也不会,如今来看看这玩意儿了。逆向分析主函数如下,当然,这里所有函数都已经过分析而标注。int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ char *Str; // ST1C_4@1 ...原创 2019-04-10 01:57:18 · 279 阅读 · 0 评论 -
使用Miasm重构CFG
0x00前言原文:https://miasm.re/blog/2016/01/27/re150.htmlgithub:https://github.com/cea-sec/miasmreverseMe:http://www.grehack.fr/data/grehack2015/re/Grehack%202015%20-%20Reverse%20-%20150.zip主要是对以上...原创 2019-03-31 18:05:21 · 908 阅读 · 0 评论 -
notepad hook
0x00前言昨天花了半天写了个四不像的玩意儿,本来打算以恶意代码的方式去写,但今天不怎么想完 善功能了,所以全局hook和自删除之类的就没有了(其实是debug太麻烦。),结果就是这 个程序很沙雕,你必须先打开记事本再运行它才行。不过获取记事本信息是没什么问题的。0x01行为完全是想到什么写什么,所以有些功能完全没发挥作用呢。。 PS:这里所有生成的文件都存放在你的C:/User...原创 2019-03-13 17:33:00 · 535 阅读 · 0 评论 -
分析熊猫烧香
0x00 前言总之就是分析了下这个病毒吧,毕竟当年还是影响很大的,分析起来也算友好,也算是熟悉熟悉病毒的分析过程。0x01 行为分析仅从PE文件上获得的信息看不出什么名堂来,因为它是Delphi写的,有许多乱七八糟的字符串,导入表也很多,看起来啥功能都有。所以还是得用监视器来看看它的运行情况(Win7运行后还真中毒了。。。)过滤一下文件操作可以看到它多次操作了C:...原创 2019-03-21 20:05:15 · 630 阅读 · 1 评论 -
Practice Malware Analysis Lab11
Lab11-1感觉这个Gina完全过时了。。Lab11-2Lab11-2.ini解密得,交叉引用发现该dll文件对send函数进行了inlinehook,hook代码new_send代码如下可以看到,所有发送到邮箱的数据都将发送到中存在导出函数installer这里设置了注册表SOFTWARE\Microsoft\WindowsNT\CurrentVe...原创 2019-03-16 17:39:26 · 222 阅读 · 0 评论 -
Practical Malware Analysis Lab7
前言给出的恶意程序都是十分简单的类型,几乎没有阻止分析的手段,且IDA的反编译结果可读性十分好,只能说是用来了解一波恶意代码编程的方法和思路了。Lab7-1主要是Windows服务程序,可参考以下资料了解windows服务1.http://soft.chinabyte.com/os/368/12251368.shtml2.https://onew.me/2018/10/08/w...原创 2019-03-11 10:00:09 · 592 阅读 · 2 评论 -
Practical Malware Analysis Lab9
Lab9-1不走程序直接逆。标注完的主函数如下int __cdecl main(int argc, const char **argv, const char **envp){ char port; // [sp+10h] [bp-181Ch]@31 char ups; // [sp+410h] [bp-141Ch]@31 char url; // [sp+810h] [b...原创 2019-03-15 23:42:29 · 596 阅读 · 0 评论 -
WinRAR去广告
下载最新版本WinRAR,结果一打开就有广告,说好的体验30天呢。可能是之前装过的WinRAR还残留有注册表信息吧,广告如下:打开x32dbg,附加到WinRAR进程,在DestoryWindow这个API下断点,在调试器的命令行输入bp DestoryWindow即可,点击广告窗口的关闭按钮,在API中断下,栈回溯返回地址就能找到广告窗口的消息处理过程。在IDA中打开,找到对应广告窗口的...原创 2019-03-11 16:47:14 · 1756 阅读 · 0 评论 -
cpp逆向之旅3
自定义类的使用#include "Sales_item.h"int main(void){ Sales_item total; if (std::cin >> total) { Sales_item trans; while (std::cin >> trans) { if (total.isbn() == trans.isbn()) ...原创 2018-12-28 21:06:29 · 244 阅读 · 0 评论 -
cpp逆向之旅2
源码(string的简单使用)#include <iostream>#include <string>using std::string;using std::cout; using std::endl;int main(void){ string s = "abcd"; for (auto &c : s) c = toupper(c);原创 2018-12-26 21:38:53 · 294 阅读 · 0 评论