病毒分析
文章平均质量分 95
记录一下自己所有的病毒分析成果
鬼手56
代码搞起来还是很轻松的,就是头有点冷
展开
-
Avaddon勒索解密工具原理解析
文章目录Avaddon勒索解密工具解密工具原理解密工具优化相关资料Avaddon勒索该勒索病毒使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,加密库使用的是Windows自带的CryptAPI被该勒索加密后的文件后缀为avdn解密工具国外安全研究人员发布了一款Avaddon勒索病毒解密工具,解密工具源代码地址:https://github.com/JavierYuste/AvaddonDecryptor经过测试,这个工具确实是可以解密被Avaddon勒索加原创 2021-02-20 14:35:07 · 1912 阅读 · 2 评论 -
脚本类恶意程序分析技巧汇总
文章目录前言python样本分析打包一个hello world关于python文件什么是pyc文件什么是pyo文件什么是pyd文件为什么需要pyc文件关于打包的exe位数python打包exe程序的特征图标特征字符串特征入口特征编译器特征反编译hello world由exe获取pyc由pyc获取pypython代码混淆的解决方案python代码的混淆原理实战去除python代码混淆vbs样本分析v...原创 2019-04-30 12:54:11 · 4558 阅读 · 1 评论 -
vbs病毒分析神技——使用VS2017调试vbs脚本
在分析VBS类的文档病毒的时候,通常会因为病毒加密问题感到头疼,如果加密了好几层,只能用MsgBox或者输出到文件,一层一层解密,但是如果能有个顺手的调试器去调试就能达到事半功倍的效果了设置VS2017调试器接着选择调试->选项,把脚本前面的勾给打上,这一步需要管理员权限调出调试器命令行输入wscript /X 要调试vbs脚本的路径或者用cmd敲上这条命令也可以打开调试器...原创 2019-04-05 15:45:00 · 1833 阅读 · 0 评论 -
宏病毒的研究与实例分析05——无宏文件携带宏病毒
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明前言docx文件可能是宏病毒吗?如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...转载 2019-03-11 21:48:14 · 1647 阅读 · 0 评论 -
宏病毒的研究与实例分析04——实战分析
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。样本1-powershell_downloader首先使用oledump.py提取宏:提取到的宏代码如下:Attribute VB_Name = "Module1"Sub Auto_Open...转载 2019-03-11 21:08:09 · 22858 阅读 · 1 评论 -
宏病毒的研究与实例分析03——宏病毒处理篇
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒。宏病毒处理思路破坏宏标志在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...转载 2019-03-11 19:33:32 · 3329 阅读 · 3 评论 -
宏病毒的研究与实例分析02——复合文档格式分析
文章目录复合文档二进制解析复合文档数据结构解析准备工作基础知识HeaderFATDirectory补充宏代码数据结构解析说明目前主流杀软在处理宏病毒时,都是直接删除含有宏病毒的文档,这样处理显得有些粗暴,将导致用户无法查看文档里的数据,如果是一些重要的业务数据,将造成业务数据的丢失,产生无法估计的后果。本文将介绍一种宏病毒处理思路,在不删除文档文件的情况下清除宏病毒。复合文档二进制解析在正式...转载 2019-03-11 10:30:44 · 2203 阅读 · 0 评论 -
宏病毒的研究与实例分析01——基础篇
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明前言本系列文章将由浅入深对...转载 2019-03-10 19:45:02 · 10542 阅读 · 0 评论 -
对WannaCry的深度分析
文章目录样本概况查壳基础分析基础静态分析查看字符串使用PEiD识别加密算法查看导入表查看资源段基础动态分析查看进程树注册表监控文件监控网络监控使用IDA和OD进行详细分析对wcry.exe病毒主程序的分析主体逻辑第一部分 初始化操作GetRandom 获取随机数SetReg 设置注册表项ReleaseFiles 释放资源文件WriteCwnry 写入c.wnryExeCmdCommand 执...原创 2019-02-19 16:33:28 · 11523 阅读 · 5 评论 -
开源一个自写的病毒技术工具集
文章目录前言界面代码视图功能介绍基础技术防双开释放资源注入技术全局钩子注入远程线程注入APC注入启动技术三种方式创建进程内存加载运行dll自启动技术注册表快速启动目录计划任务系统服务提权技术提升为Debug权限BypassUAC查看当前进程权限隐藏技术进程伪装傀儡进程DLL劫持压缩技术数据解压缩文件解压缩加密技术HASHAES加/解密RSA加/解密实现原理功能技术进程遍历文件遍历桌面截屏按键记录显...原创 2019-02-19 14:29:55 · 4950 阅读 · 5 评论 -
宏病毒的研究与实例分析06——终结篇 进击的MACRO
文章目录背景VBA stomping在VBA编辑器中隐藏宏使用旧版宏警告常用的规避杀软的手法结语参考文献转自信安之路病毒分析小组组长::x-encounter背景 Office版本历经十几年的变迁,现已趋于成熟,但仍存在着新老版本交替使用的问题。Office 97-2003 Word的文件后缀为doc,新版本的Office文件后缀为docx,包含宏的文档后缀为docm。微软是不会允许将包含...转载 2019-07-24 21:16:44 · 2738 阅读 · 0 评论