病毒分析
文章平均质量分 82
Psy_Hacker
这个作者很懒,什么都没留下…
展开
-
Ragnar Locker 勒索软件分析报告
原创 2022-03-26 16:57:31 · 595 阅读 · 1 评论 -
恶意样本分析报告
分析报告样本信息文件大小MD5文件名称72.07KB44BCF2DD262F12222ADEAB6F59B2975Bab.exe样本功能分析:通过shellcode编写进行免杀,实现干扰分析人员进度:通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同)对文件名称进行校验:根据算法比较获取目标DLL文件DLL算法(有可能是UNICODE,也有可能是AN原创 2022-03-20 12:42:05 · 618 阅读 · 0 评论 -
Go语言恶意样本分析
样本信息样本MD56BC5F53D4082F12DD83ACA45BAE81E64样本编译语言go语言样本行为分析通过对样本运行的动态行为进行分析,样本主要行为如下:创建进程获取系统信息系统信息上传C2获取C2下发指令以及回传的文件执行C2回传的文件样本静态分析分析go语言的样本,与一般C\C++编写的PE文件有很大不同,在分析go语言编写的样本的时候,反编译会识别大量函数。这其中有大部分的库函数,因此分析go语言的恶意样本需要先找到函数入口点。main_ma原创 2022-01-29 12:27:00 · 1173 阅读 · 0 评论 -
关于APC机制
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《Windows的APC机制》受益匪浅,总结一点自己关于APC的思路:之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件原创 2021-03-12 15:31:38 · 1145 阅读 · 0 评论 -
关于虚拟机检测技术的研究
平平无奇的搬砖日,突然想起来之前分析的一个病毒好像有某种反虚拟机的方法,当时没太研究明白,甚至都没研究明白是检测虚拟机的操作。现在想起来回过头去再研究一下,虚拟机的检测技术,在这个过程中借鉴了很多其他大神的经典文章(当然大多数都是人家的东西,我只不过是拾人牙慧)相较而言,我们一般在分析病毒的时候,也会碰到一些反虚拟机反调试的操作。常见的反虚拟机的手段,无非就是遍历系统进程,检测特殊进程、检测特殊服务、检测注册表项等几种。国外SANS安全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类:●原创 2021-02-27 17:46:38 · 1702 阅读 · 0 评论 -
Incase Format样本分析报告
事件背景2021-1-13日,Incaseformat病毒突然爆发,该病毒删除了除系统C盘以外的磁盘下的所有文件,导致用户数据出现重大损失。该病毒在2009年已经出现,属于很经典的“文件夹”病毒,为了查清此次病毒爆发原因,我们对该病毒行为进行了分析。原创 2021-02-20 20:17:04 · 0 阅读 · 0 评论 -
进程隐藏——病毒分析
样本是从看雪上扒下来的,原文作者在动态分析的时候提到这个样本在运行的过程中,会有隐藏进程的操作,分析学习一下。样本信息32位程序查壳:无壳静态分析样本进去之后逻辑相对简单:首先对执行参数进行判断,接着拼接目标进程的路径,之后对资源段的数据进行处理。通过程序逻辑,不难判断出,通过定位资源段的数据,在进行解密操作,再结合之前获取svchost进程的路径,不难猜测,资源段的数据揭秘出来应该是一个PE文件,在之后的操作里边会对svchost进程进行注入操作。查看资源段数据解密算法:把资源段原创 2020-11-29 16:22:24 · 342 阅读 · 3 评论 -
常见的无文件攻击技术解析(不定时更新)——入得此门不回首
下边介绍的几种无文件的攻击方式都是在病毒分析过程中实际碰到过的技术手段,有解释的不清楚或者有粗无的地方,欢迎一起讨论。1、通过宏代码的方式来执行恶意操作。之前分析的一个病毒,将代码内嵌到宏代码里边并且设置为自动执行,当用户点击同意启用宏之后(大多通过邮件或者其他社会工程学的方式使用),就会执行宏代码,而宏代码的功能是连接到远程的网站上执行一段恶意的powershell,当然,这段恶意的powershell也是经过混淆的,powershell的功能也是连接到其他网站来执行一段恶意的代码,就这样循环下去,一直原创 2020-05-18 16:42:02 · 830 阅读 · 0 评论 -
宏病毒刨析
拿到宏病毒之后,先使用oledump.py工具进行宏数据流得查看:通过查看数据流可以发现,在第八段和第九段有宏代码,同时需要注意在第十二的数据虽然没有宏代码 ,但是第12段数据大小却是很可疑需要注意一下,同时也可以将第八段和第九段以及第十二段 这三段数据dump出来 进行查看。这里采用宏病毒动态调试的方式:打开文件之后,存在安全警告:这个时候,可以使用快捷键 打开并且查看宏代码(a...原创 2019-12-09 16:05:53 · 550 阅读 · 2 评论 -
病毒自启动的方式-笔记不定时更新
一般情况下,在用户点击运行病毒程序之后,病毒才会运行起来,而在大多数情况下,病毒程序在用户运行过后就会对用户的计算机进行某些修改来隐藏自己或者是在用户不知情的情况下运行病毒自身。举几个例子:1、在病毒运行之后,修改注册表实现自启动2、病毒运行之后,实现自删除(其实在这个时候大多数的情况应该是病毒将自身复制到其他的路径下)来伪装自己。3、设置计划任务那么能够让病毒修改启动项之后进行自动运行...原创 2019-10-26 16:43:41 · 2076 阅读 · 0 评论 -
对于API函数的HOOK过程
对ntdll.dll模块的ZwWriteVirtualMemory函数进行HOOK,HOOK的 过程如下:首先获得该函数的地址,之后将该函数的地址设置为可读可写的属性接下来申请一段内存空间,将要HOOK 的函数的内容保存到这段空间里边(毕竟HOOK之后还是要实现原来的功能的,留作以后用):修改第一条机器码:第二次修改:修改空间属性保存被修改了的指令(hook完...原创 2019-10-25 19:58:13 · 615 阅读 · 3 评论