恶意代码分析
曙雀
这个作者很懒,什么都没留下…
展开
-
恶意代码分析方法(一)
1.哈希值工具:MD5deeep用于判定开发者的程序是否被修改2.查找字符串帮助了解程序功能属性3.动态链接函数工具:DependencyWallker根据调用的DLL模块中的函数推测功能常见三大dll模块user32.dll是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息包含图形界面操作,可能为图形化界面gdi...原创 2019-02-27 17:20:24 · 2584 阅读 · 1 评论 -
python求文件哈希值
import os,sys,hashlib_FILE_SLIM=(100*1024*1024)def file_md5(filename): calltimes=0 hmd5=hashlib.md5() fp=open(filename,'rb') f_size=os.stat(filename).st_size if f_size>_FILE_S...原创 2019-03-06 16:31:29 · 2867 阅读 · 0 评论 -
恶意代码分析实验(一)
记几个简单的恶意代码分析实验Lab01-02.exe检验程序是否有壳发现加了upx壳,我们用工具脱壳得到文件后将文件拖入IDA反编译首先查看字符串,发现可疑字符http://www.malwareanalysisbook.com猜测该网址为恶意网站,该程序的操作为访问该恶意网址对代码逻辑的详细分析如下:int sub_401040(){ SC_HANDLE v0; // es...原创 2019-04-01 22:01:56 · 1468 阅读 · 0 评论 -
恶意代码分析实验 Lab03-03
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析Lab03-03.exe使用IDA进行静态分析将文件拖入IDA进行分析根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下:之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下:python对资源解密过程如下:将解密后的文件拖入HxD中...原创 2019-04-28 21:22:56 · 1621 阅读 · 3 评论 -
lab05-1课后题
1.DLLMain的地址是什么?2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么位置?原创 2019-05-15 17:24:10 · 635 阅读 · 1 评论