- 博客(12)
- 收藏
- 关注
RSS订阅原创 Petya勒索病毒(2016.4月样本)分析笔记
前言之所以不叫分析报告,是因为接下来要看到的分析,可能包含了不正确的,或者有疑点,和未完全分析的,里面有我个人的主观臆断,或者一些我目前未察觉的错误,还有一些非常基础,非常啰嗦的内容,这都是为了复习我以前的一些知识,或者是做一个记录防止以后可能需要用到。还有一些可能在分析中新学习的知识可能有很多不正确,或者不确定,因为我个人能力有限没察觉到的地方,所以只能称为我个人的分析笔记,因为我当时是这样想...
2018-11-28 00:06:59
4341
1
转载 常见的漏洞缓解技术整理
原帖:https://bbs.pediy.com/thread-226364.htm 作者:luoboboGS未开启GS时函数调用的系统栈的变化过程:函数中的局部变量将从ESP所指的位置向下压栈,当写入的内存过大时,将会覆盖返回地址造成异常。开启GS后,函数调用时会将一个DWORD随机数与ESP亦或后压入栈内,同时将其副本保存在.data段。在函数返回前,将有一个安全验证操作,防止函数返...
2018-11-20 15:51:28
1388
原创 Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
先发代码参考了:https://bbs.pediy.com/thread-200048.htm forwardbobhttps://bbs.pediy.com/thread-168023-1.htm tianhzhttp://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard这三位大牛的代码以及原理#ifndef C...
2018-11-16 22:18:46
947
转载 Windows 下常见的反调试方法
稍稍总结一下在Crack或Rervese中比较常见的一些反调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。①最简单也是最基础的,Windows提供的API接口:IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。if (IsDebuggerPresent()) //API接口{ ...
2018-11-15 14:46:38
1169
1
转载 Windows x86/ x64 Ring3层注入Dll总结
0x00.前言提到Dll的注入,立马能够想到的方法就有很多,比如利用远程线程、Apc等等,这里我对Ring3层的Dll注入学习做一个总结吧。我把注入的方法分成六类,分别是:1.创建新线程、2.设置线程上下背景文,修改寄存器、3.插入Apc队列、4.修改注册表、5.挂钩窗口消息、6.远程手动实现LoadLibrary。那么下面就开始学习之旅吧!0x01.预备工作在涉及到注入的程序中,提升程...
2018-11-15 00:24:01
427
转载 DLL注入-APC注入
APC注入APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。2)当线程再次被唤醒时,此线程会首先执行APC队列中...
2018-11-14 23:51:05
1109
原创 [漏洞样本分析]CVE-2018-0802
环境:Win7(专业版)office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁)工具:Ollydbg IDA Pro PEid Kali-Linux metasploitPOC来源:https://github.com/rxwx/CVE-2018-0802漏洞背景:在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的...
2018-11-01 11:11:56
755
原创 [漏洞样本分析]CVE-2017-11882
环境:Win7(专业版)office 2003 sp3(完全版)工具:Ollydbg IDA Pro PEid Kali-Linux metasploitPOC来源:https://github.com/embedi/CVE-2017-11882漏洞介绍:安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
2018-11-01 10:59:31
3399
原创 [漏洞样本分析]CVE-2012-0158
环境:Windows7专业版32位Office2003 XP3 完全版POC来源:网络样本工具:IDA OD 010Ediotr windbg漏洞成因以及分析:栈内存拷贝溢出漏洞,控件安全检查不严查找漏洞触发点:打开WORD 使用OD 附加WORD 打开POC触发溢出由于栈溢出会破坏向下的栈空间,如果足够大,那基本是找不到线索 所以我们往溢出点的栈往上看 找点...
2018-11-01 10:38:51
1174
原创 [病毒分析]利用CVE-2012-0158的病毒分析
样本信息:病毒名称:Office2003宏病毒MD5: 52E3DDB2349A26BB2F6AE66880A6130CSHA1: A86DC1842355E6999DE100B85B85A7C1589E4BBCCRC32: 7D21F812环境:Win7专业版32位Offi2003 SP3 完全版工具:火绒剑,Ollydbg,IDA,Windbg,PEiD Malware D...
2018-11-01 10:21:20
828
原创 [病毒分析]某款勒索病毒分析
1.样本概况1.1 样本信息1.病毒名称:1.exe2.文件大小:327680 bytes3.MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F4.SHA1: 863F5956863D793298D92610377B705F85FA42B55.CRC32: 1386DD7A病毒行为:复制自身、傀儡进程、加密指定类型的PE文件、修改注册表自启动、自动关闭任务管...
2018-11-01 09:52:21
1995
原创 [病毒分析]熊猫烧香
熊猫烧香病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标2.具体行为分析2.1 主要行为2.1.1 恶意程序对用户造成的危害2.2 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。参考文献1.样本概况1.1 样本信息1.病毒名称:panda.exe2.文件大小:30001 bytes3.MD...
2018-11-01 09:26:30
1378
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人