![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
virus相关
richard1230
这个作者很懒,什么都没留下…
展开
-
专杀工具编写思路(转)
本文实例讲述了VC实现的病毒专杀工具的方法。非常实用,分享给大家供大家参考。具体实现方法如下:如今病毒木马蠕虫层出不穷,变种也是一个接一个。反病毒公司以及各大安全公司随着影响很大的病毒的出现都会免费提供病毒专杀工具,这个举措对普通用户来说确实很有帮助。其实写病毒专杀工具也不像大家想象的那么神秘,利用SDK写个控制台程序来实现病毒专杀,因无须写图形界面,所以简便快捷!你自己也能写!不信?就接...转载 2018-03-09 14:15:43 · 391 阅读 · 0 评论 -
一款勒索病毒的分析
样本概况样本信息测试环境及工具分析目标具体行为分析主要行为恶意代码分析恶意软件本体的行为:样本概况样本信息MD5值:bba660ab32606478a78ec7dff64ed81c SHA1值:826ccd5c2535360915fe9f81ac8b3663b21be285 CRC32:3d34e7bc 恶意软件行为: 此恶意软...原创 2018-04-06 15:43:57 · 1969 阅读 · 0 评论 -
一个栈溢出漏洞利用的病毒分析
样本概况样本基本信息利用VirusTotal扫描漏洞分析POC分析分析shellcode小结恶意代码分析样本概况样本基本信息 病毒名称:doc_sample MD5值:52E3DDB2349A26BB2F6AE66880A6130C SHA1值:A86DC1842355E6999DE100B85B85A7C1589E4BBC CR...原创 2018-04-05 11:10:07 · 1350 阅读 · 0 评论 -
病毒分析的一些小总结
之前在分析一个office2003的一个恶意代码样本,先总结一下分析病毒行为的一些若干套路:(之前都没有注意) 1.首先打开Word这个进程 2.然后再开启这个进程的进程树: 3.开启监控,并过滤掉相关行为动作: 4.将恶意代码样本拖进至已经打开的这个Word进程: 然后就可以发现它的一系列行为: 然后就发现了它的恶意行为,发现其释放了一个exe,why? 因...原创 2018-04-10 11:16:26 · 1144 阅读 · 0 评论 -
记一次带有FSG壳的熊猫烧香病毒分析过程
样本概况样本信息测试环境以及工具分析目标具体行为分析0利用查壳工具查看1.利用PChunter2.手工清理3.利用火绒剑进行主要行为分析恶意行为的一个简要小结4.脱壳病毒恶意行为分析(OD结合IDA双剑合璧)知识点扩展1:知识点扩展1小结:知识点扩展2知识点扩展3知识点扩展4(编辑函数标签:)知识点扩展5(有关seh链的:)知识点扩展6(Del...原创 2018-04-02 00:33:27 · 5717 阅读 · 3 评论 -
简单宏病毒研究
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本)1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...转载 2018-03-13 15:22:18 · 3582 阅读 · 2 评论 -
宏病毒相关研究
基础知识宏与宏病毒原文地址:https://www.52pojie.cn/thread-706440-1-1.html基础知识宏与宏病毒宏(英文Macro),广义上的定义是:宏就是把一系列的指令组织成一独立的命令,类似C语言中#define宏定义,避免同一动作的一再重复;狭义上,宏特指office系列办公软件中的宏,Microsoft Offi...转载 2018-03-13 15:11:12 · 1355 阅读 · 0 评论 -
寻找vs2015main函数
#include "stdafx.h"#include <string.h>#define PASSWORD "1234567"int verify_password(char* password){ int authenticated; char buffer[8]; authenticated =strcmp(password,PASSWORD...原创 2018-03-04 13:48:44 · 2934 阅读 · 0 评论 -
病毒分析中的一点小结
病毒分析中的一些小结(病毒行为分析)(样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7 发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!...原创 2018-03-03 21:39:02 · 725 阅读 · 0 评论 -
熊猫烧香专杀工具的编写
熊猫烧香专杀工具编写(注:本篇文章是参考了其他的一些技术文章)一.终止病毒的进程终止进程的思路:利用ToolHelpAPI获得快照句柄,而后再利用Process32First和Process32Next枚举当前的进程,枚举的过程当中获取结构体ProcessEntry32这个结构体里面的相关信息(包括进程名和进程ID);找到目标进程之后,利用OpenProcess获取当前...原创 2018-03-10 09:43:48 · 2203 阅读 · 2 评论 -
一个检测PE文件中的可疑api的工具
这里主要分享一下我写的一个检测PE文件中的可疑api的工具:https://github.com/richard1230/checkapitool原创 2019-01-28 20:50:00 · 418 阅读 · 0 评论