鬼手的博客

病毒分析 逆向破解

脚本类恶意程序分析技巧汇总

文章目录前言python样本分析打包一个hello world关于python文件什么是pyc文件什么是pyo文件什么是pyd文件为什么需要pyc文件关于打包的exe位数python打包exe程序的特征图标特征字符串特征入口特征编译器特征反编译hello world由exe获取pyc由pyc获取p...

2019-04-30 12:54:11

阅读数 210

评论数 1

vbs病毒分析神技——使用VS2017调试vbs脚本

在分析VBS类的文档病毒的时候,通常会因为病毒加密问题感到头疼,如果加密了好几层,只能用MsgBox或者输出到文件,一层一层解密,但是如果能有个顺手的调试器去调试就能达到事半功倍的效果了 设置VS2017调试器 接着选择调试->选项,把脚本前面的勾给打上,这一步需要管理员权限 调...

2019-04-05 15:45:00

阅读数 189

评论数 0

宏病毒的研究与实例分析05——无宏文件携带宏病毒

文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使...

2019-03-11 21:48:14

阅读数 62

评论数 0

宏病毒的研究与实例分析04——实战分析

文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到...

2019-03-11 21:08:09

阅读数 476

评论数 0

宏病毒的研究与实例分析03——宏病毒处理篇

文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒。 宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这...

2019-03-11 19:33:32

阅读数 300

评论数 3

宏病毒的研究与实例分析02——复合文档格式分析

文章目录复合文档二进制解析复合文档数据结构解析准备工作基础知识HeaderFATDirectory补充宏代码数据结构解析说明 目前主流杀软在处理宏病毒时,都是直接删除含有宏病毒的文档,这样处理显得有些粗暴,将导致用户无法查看文档里的数据,如果是一些重要的业务数据,将造成业务数据的丢失,产生无法估计...

2019-03-11 10:30:44

阅读数 66

评论数 0

宏病毒的研究与实例分析01——基础篇

文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性...

2019-03-10 19:45:02

阅读数 153

评论数 0

对WannaCry的深度分析

文章目录样本概况查壳基础分析基础静态分析查看字符串使用PEiD识别加密算法查看导入表查看资源段基础动态分析查看进程树注册表监控文件监控网络监控使用IDA和OD进行详细分析对wcry.exe病毒主程序的分析主体逻辑第一部分 初始化操作GetRandom 获取随机数SetReg 设置注册表项Relea...

2019-02-19 16:33:28

阅读数 493

评论数 0

开源一个自写的病毒技术工具集

文章目录前言界面代码视图功能介绍基础技术防双开释放资源注入技术全局钩子注入远程线程注入APC注入启动技术三种方式创建进程内存加载运行dll自启动技术注册表快速启动目录计划任务系统服务提权技术提升为Debug权限BypassUAC查看当前进程权限隐藏技术进程伪装傀儡进程DLL劫持压缩技术数据解压缩文...

2019-02-19 14:29:55

阅读数 255

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭