《Malware Analysis and Detection Engineering》第四章:虚拟内存的属性

最新推荐文章于 2022-04-25 15:58:44 发布
最新推荐文章于 2022-04-25 15:58:44 发布
阅读量162 收藏
点赞数
分类专栏: Windows病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/118093349
版权
本文深入探讨了虚拟内存中的Private、Image和Mapped页面类型,以及它们在恶意软件和加壳程序中的应用。讲解了虚拟内存页与物理内存的关系,包括预留(Reserved)、提交(Committed)和自由(Free)状态。还提到了页面权限如R、RW、RWX和RX,并介绍了防止攻击的数据执行保护(DEP)。最后,列举了一些关键的虚拟内存API,如VirtualAlloc和WriteProcessMemory。
摘要由CSDN通过智能技术生成

常见文件及HEX数据列表

格式 后缀 HEX数据开头 ascii形式
Windows Windows Executable exe 4D 5A MZ
Linux Executable elf 7F 45 4C 46 .ELF
Mach-O Mach-O Executable FE ED FA CE
PDF Document .pdf 25 50 44 46 %PDF
Microsoft document .doc D0 CF doc/docx
SWF .swf 46 57 53 FWS
Flash Video .flv 46 4C 56 FLV
Zip compressed files .zip 50 4B PK
Rar compressed files .rar 52 61 72 21
了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
Malware Analysis and Detection Engineering》第一章:恶意软件趋势与反病毒人员架构
摔不死的笨鸟的博客
06-01 334
malspam 垃圾邮件
Malware Analysis and Detection Engineering》第二章:分析环境构建与常用逆向工具
摔不死的笨鸟的博客
06-04 240
Armoring 反分析反沙箱 最受欢迎的三个虚拟机是 VirtualBox、VMWare Workstation 和 QEMU/kvm。 固态磁盘 SSD 能用Solid-state-disk固态磁盘 (SSD)就不要用盘片的硬盘驱动器 (HDD) 。在分析过程中,需要快速挂起VM,创建快照和恢复快照。 拥有 SSD 意味着磁盘读写速度比传统的基于盘片的 HDD 快,提高分析速度和效率。 隔离网NAT模式 让您的分析虚拟机的网络(或主机的网络)系统已打开)与任何在场所内容纳其他设备的网络隔离。这尤其适
malware-analysis-detection-engineering:Abhijit Mohanta和Anoop Saldanha的“恶意软件分析和检测工程”源代码
05-10
Apress源代码 该存储库Abhijit Mohanta和Anoop Saldanha的(Apress,2020年)一起提供。 使用绿色按钮将文件下载为zip格式,或使用Git将存储库克隆到您的计算机上。 如何下载恶意软件样本(重要) 本书包含涉及模拟和真实世界恶意软件样本的练习。 对于模拟恶意软件的演习,我们在上面的zip中提供了完整的示例。 对于属于现实世界中的恶意软件的演习,我们提供了恶意软件样本的哈希值。 这些哈希中的恶意软件可在和上免费下载,您可以使用这些哈希从这些网站免费下载示例。 注意:您需要通过注册您的电子邮件ID在和上创建一个免费帐户,以下载示例。 您可以使用以下链接在进行注册。 以下链接提供了加入virusshare.com的说明: ://virusshare.com/about。 注意:如果您在获取恶意软件样本时遇到困难,请通过他们的电子邮件-abhiji
Advanced Malware Analysis 无水印pdf
09-24
Advanced Malware Analysis 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
PC恶意软件分析文献梳理2017-Executables Malware Analysis-wcventure
wcventure的博客
01-21 1689
This document collects papers that are related with PC executables analysis.
XAPKDetector:适用于Windows,Linux和MacOS的APKDEX检测器
02-15
XAPKDetector是适用于Windows,Linux和MacOS的Android / APK / DEX检测器。 XAPKDetector显示有关构建工具,库和APK / DEX文件保护的信息 启发式扫描 字符串查看器 十六进制查看器 熵查看器 哈希查看器 ...
One Piece1-541(ed2k)
热门推荐
贾亮的专栏
05-28 17万+
1-143 http://www.VeryCD.com/topics/143292/ 144-228 http://www.VeryCD.com/topics/17082/ 229-325 http://www.VeryCD.com/topics/39594/ 326-384 http://www.VeryCD.com/topics/198051/ 385-458 ht
μTorrent下载器
02-25
μTorrent是一款可以完美代替迅雷的种子下载软件,并且界面简洁清楚,无广告免登录。
【论文阅读】|异常检测中的深度学习技术综述
m0_38052500的博客
05-29 3007
《DEEP LEARNING FOR ANOMALY DETECTION : A SURVEY》 摘要: 对基于深度学习的异常检测技术进行结构化和综合的呈现; 评估各种检测技术在各类应用中的效率。 具体而言: 作者按照现有假设和方法对当前的技术归类,而每一组将呈现其基础检测技术及变体,同时呈现对应的假设,从而区分异常行为和非异常行为。 对每一组技术呈现其优势和局限,同时讨论各种技术在实际应用中的计算复杂度。 最后,分析当前研究中的开放问题和面临的挑战。 介绍: 异常意味着偏离,导致的原因是: mal
signature=8ef6cc63f8816ce1b7ca1d68397af706,OWSS/yarn.lock at ce313a33f83ada521a5858cceef4a841c9531b4...
weixin_34420979的博客
05-29 1万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@netflix/nerror@^1.0.0":version "1.1.2"resolved "https://registry.yarnpkg.com/@netflix/nerror/-/nerror-1.1.2.tgz#4b82...
一个AVPro视频全屏化的代码片段
GGman的博客
12-05 1852
public GameObject VideoPanle; public RectTransform Sliderrec; private Vector2 InitAnchore; private Vector2 InitSizeDelta; private Vector2 InitSlider; private Vector2 InitClose; public RectTransform...
展望2018音视频技术:AV1,AI,区块链,WebRTC
liuweihui521的专栏
08-10 8609
https://blog.csdn.net/tanningzhong/article/details/78978515
DAVSE AV50 视频切换台
胜于蓝博客
09-11 1万+
2通道视频切换器 1个HDMI和1个SDI输入,带有循环输出 1个RJ-45 LAN视频流输出 USB网络摄像头视频流输出 1 SDI输出 1个XLR麦克风输入和1个RCA立体声线路输入 理货输出 简单的前面板控制 输入音频延迟调整 技术交流 司工 Tel/Wechat:18201538767 ...
APTHunter——Windows安全日志排查好帮手
摔不死的笨鸟的博客
12-16 4744
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。 服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。 服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问
恶意软件免杀与技术(2022.04.25)
摔不死的笨鸟的博客
04-25 3741
BlackGuard加密货币钱包窃取 规避以下dll的加载 SbieDll.dll 沙盒沙盒 SxIn.dll 360全方位安全 Sf2.dll Avast 杀毒软件 snxhk.dll Avast 杀毒软件 cmdvrt32.dll COMODO 网络安全 使用Obfuscar进行.NET程序混淆 BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中,此功能用于防止恶意软件在特定的东欧国家执行。 通过Chrome插件ID找到加密钱包的插件路径,然
PowerShell脚本类病毒分析
摔不死的笨鸟的博客
11-12 3139
PowerShell介绍 Powershell 早期一种VBScript的代替脚本语言,同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期,微软迈出了之前想都不会想的一步,完整开源了Windows PowerShell。 为什么要重视Powershell? 1.GUI无法带来效率上的提升。 2.其他脚本语言总是有种种缺憾。 3.越来越多的产品和Windows系统中组件已经采用PowerShell 现今的反病毒产品,对于检测磁盘上的恶意
绕过BIOS/UEFI固件写保护写入SPI闪存
摔不死的笨鸟的博客
12-14 2048
针对Bootkit:LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。 对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器,该控制器是Intel平台上的Platform Controller Hub(PCH)的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。 绕过BIOS/UEFI固件写保护写入SPI闪存用I/O命令访问PCI总线配置空间BIOS控制寄存器BIOS_CNTL攻击者如何感染UEFI固件?
bottracer: execution-based bot-like malware detection
最新发布
08-25
bottracer是一种基于执行的类似bot的恶意软件检测工具。它的作用是通过检测和分析执行过程中的行为,识别可能是恶意bot的程序。 bottracer的原理是观察程序在系统中的执行,并捕获和记录其行为特征。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值