![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
「已注销」
这个作者很懒,什么都没留下…
展开
-
DDCTF2019-Writeup
目录WindowsReverse1WindowsReverse2confusedobfuscating macros黑盒破解2北京地铁MulTzor[PWN] strikeWireshark联盟决策大会滴~Web签到题Upload-IMG大吉大利,今晚吃鸡~Breaking LEMWindowsReverse1比较基础的一...原创 2019-04-19 11:31:32 · 4843 阅读 · 0 评论 -
Practical Malware Analysis Lab9
Lab9-1不走程序直接逆。标注完的主函数如下int __cdecl main(int argc, const char **argv, const char **envp){ char port; // [sp+10h] [bp-181Ch]@31 char ups; // [sp+410h] [bp-141Ch]@31 char url; // [sp+810h] [b...原创 2019-03-15 23:42:29 · 596 阅读 · 0 评论 -
Practice Malware Analysis Lab11
Lab11-1感觉这个Gina完全过时了。。Lab11-2Lab11-2.ini解密得,交叉引用发现该dll文件对send函数进行了inlinehook,hook代码new_send代码如下可以看到,所有发送到邮箱的数据都将发送到中存在导出函数installer这里设置了注册表SOFTWARE\Microsoft\WindowsNT\CurrentVe...原创 2019-03-16 17:39:26 · 222 阅读 · 0 评论 -
分析熊猫烧香
0x00 前言总之就是分析了下这个病毒吧,毕竟当年还是影响很大的,分析起来也算友好,也算是熟悉熟悉病毒的分析过程。0x01 行为分析仅从PE文件上获得的信息看不出什么名堂来,因为它是Delphi写的,有许多乱七八糟的字符串,导入表也很多,看起来啥功能都有。所以还是得用监视器来看看它的运行情况(Win7运行后还真中毒了。。。)过滤一下文件操作可以看到它多次操作了C:...原创 2019-03-21 20:05:15 · 630 阅读 · 1 评论 -
notepad hook
0x00前言昨天花了半天写了个四不像的玩意儿,本来打算以恶意代码的方式去写,但今天不怎么想完 善功能了,所以全局hook和自删除之类的就没有了(其实是debug太麻烦。),结果就是这 个程序很沙雕,你必须先打开记事本再运行它才行。不过获取记事本信息是没什么问题的。0x01行为完全是想到什么写什么,所以有些功能完全没发挥作用呢。。 PS:这里所有生成的文件都存放在你的C:/User...原创 2019-03-13 17:33:00 · 535 阅读 · 0 评论 -
使用Miasm重构CFG
0x00前言原文:https://miasm.re/blog/2016/01/27/re150.htmlgithub:https://github.com/cea-sec/miasmreverseMe:http://www.grehack.fr/data/grehack2015/re/Grehack%202015%20-%20Reverse%20-%20150.zip主要是对以上...原创 2019-03-31 18:05:21 · 908 阅读 · 0 评论 -
dll注入系列——傀儡进程
0x0介绍之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...原创 2019-04-11 19:16:12 · 990 阅读 · 1 评论 -
分析wannacry——启动器
废话两年过去了,两年前还啥也不会,如今来看看这玩意儿了。逆向分析主函数如下,当然,这里所有函数都已经过分析而标注。int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd){ char *Str; // ST1C_4@1 ...原创 2019-04-10 01:57:18 · 279 阅读 · 0 评论 -
dll注入系列——简单介绍
概念dll注入是一种将Windows动态链接库注入到目标进程中的技术,具体的说,就是将dll文件加载到一个进程的虚拟地址空间中。对某个进程进行dll注入,也就意味着dll模块与该进程共用一个进程空间,则这个dll文件就有了操纵这个进程空间的能力,以达到执行dll模块中的代码修改进程数据的能力。dll注入技术在逆向工程,病毒,外挂,调试等技术领域都有广泛的应用,它也是WindowsAPI ho...原创 2019-01-31 20:52:32 · 2452 阅读 · 0 评论 -
dll注入系列——内存加载
0x0废话dll注入的方式和程序正常加载dll模块的本质上是相同的,无非是通过导入表加载,利用LoadLibrary加载和一些系统机制强制加载。要使程序动态加载一个dll文件,也就是执行程序原本没有的代码,势必要改变程序的控制流,创建一个新的线程可以做到这件事。最简单的远线程注入就是利用CreateRemoteThread和LoadLibrary两个API来完成了。关于注入的介绍及两种经...原创 2019-04-11 01:52:43 · 5680 阅读 · 0 评论 -
Practical Malware Analysis Lab7
前言给出的恶意程序都是十分简单的类型,几乎没有阻止分析的手段,且IDA的反编译结果可读性十分好,只能说是用来了解一波恶意代码编程的方法和思路了。Lab7-1主要是Windows服务程序,可参考以下资料了解windows服务1.http://soft.chinabyte.com/os/368/12251368.shtml2.https://onew.me/2018/10/08/w...原创 2019-03-11 10:00:09 · 592 阅读 · 2 评论