- 博客(26)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 通过in指令反虚拟机
在一些样本中有一些反虚拟机的行为,来对抗分析,其中通过in指令就是 专门来对抗vmware虚拟机的,代码如下,恶意样本可以将恶意代码放入 异常中,也可以通过设置返回值进行判断`#includeinclude
2016-12-09 11:46:15
1787
1
原创 栅栏密码
属于分组交换密码,简单来说,就是先分组,然后将每组的首字母提取出来,然后组成新的字母序列。解密也非常的简单,就是先将字母序列按照分组的字母长度分组,并将首字母还原。现在在接触CTF时候,遇到这个一串栅栏加密的字符串 tn c0afsiwal kes,hwit1r g,npt ttessfu}ua u hmqik e {m, n huiouosarwCniibecesnren.写个pytho
2016-11-29 14:32:22
3965
原创 smali 语法总结
一、smali的数据类型在smali中,数据类型和Android中的一样,只是对应的符号有变化:B---byteC---charD---doubleF---floatI---intJ---longS---shortV---voidZ---boolean[XXX---arrayLxxx/yyy---objectcheck-cast v0, Landroid/widget/Butt
2016-11-22 20:01:12
475
原创 windbg命令总结
0 基本操纵 前面的路径可以随便,后面的网址是微软的符号服务器的地址 SRV*D:\localsymbols*http://msdl.microsoft.com/download/symbols r 用来显示当前的寄存器值 g 是恢复执行 g 地址 是执行到指定的地址 1 进程切换 !wow64exts.sw 用这个命令可以实现32位和64位的来回切换 2 模块操作
2016-11-22 10:15:06
441
原创 盗号木马分析
木马共采用vb和c#两种外壳,来保护真正的核心代码,并采用采用对核心代码加密来躲避杀软,从执行到结束都在内存中,无交互,收集完信息之后直接通过RC4加密后发送到C&C服务器,同时里面有很多反虚拟机和反分析技术。发送完信息直接删除原文件,消失的无影无踪。经分析发现,此盗号木马通过本地的一些配置、缓存、.dat文件可以盗取多种FTP、浏览器、邮箱、虚拟币的账号和密码。代码分析 此木马一共分为两个版本分
2016-11-22 10:03:06
3243
1
原创 一个后门分析
文件信息: 壳信息:无壳 编译器:vs2010 1. 文件运行后,会首先判断文件是否在C:\WINDOWS\system32目录下,如果没有则拷贝自身到这个目录下,并将自身设为服务进程,随开机启动接着会启动这个服务,并在临时文件夹创建一个.bat文件并执行。这个文件主要是删除原有文件服务启动后会尝试连接C&C服务器,域名一共有两个X5.XITONGAA.COM和X6.XITONGAA.CO
2016-11-22 09:47:17
1029
原创 盗取网站账户密码和本地邮箱木马分析
发现了一种盗取浏览器保存的网站账户密码和本地邮箱的账号和密码的木马,这个木马主要通过使用Mail passView和webBrowserPassView两款查看账号密码的软件,通过两款外壳来对两个工具进行加密,然后进行注入,执行后发送到 黑客的服务器中。样本剖析该样本一共有两种外壳,两种外壳都是将核心文件解密出来 下图是解密出的核心文件,是个PE文件 核心文件是个VB编写的文件,且图标都是这个
2016-11-22 09:37:39
4867
1
原创 zbot木马分析
木马属于zbot木马家族,并且此木马的免杀做的非常好。能过很好的逃过杀软的检测,而此木马对自己进行了很好的保护,经过了三个阶段才将自己释放出来。并添加了开机自启动。木马主要的四个阶段: 0x01:释放样本到临时文件夹,并启动0x02:释放文件到C:\Documents and Settings\Administrator\Application Data\目录,并且生成文件,设置开机自启动,然后启
2016-11-22 09:27:37
2511
1
原创 zlib
在分析样本的网络行为时候,遇到了将信息用zlib压缩的 zlib的开头是789c 下面写个python小脚本方便大家进行学习 可以将二进制数据复制进去然后 解密这里写代码片! /usr/bin/env pythonimportzlib importbinascii IDAT =”加密数据”.decode(‘hex’)print IDATresult =binascii.hexlify(
2016-11-22 00:58:38
2952
2
原创 parite家族样本分析
parite家族,此家族属于蠕虫系列,在这次发现的样本中使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。启动后通过开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中其他文件进行感染,即使将钩子卸载也无济于事。可以看到开头有一段揭秘函数,可以判断病毒在可执行文件中,病毒使用了多态变形技术,这种技术主要是为了躲避早期杀
2016-11-22 00:50:42
1567
原创 分析CVE-2012-0158完善静态检测工具
最近在完善样本检测工具,分析了很多VT 上0158的样本,漏洞很简单,先说一说遇到的比较奇特的样本1office ppt和XLS都存在彩蛋,存在默认密码 XLS 默认密码是 VelvetSweatshop PPT 的默认密码是 /01Hannes Ruescher/01 这种情况静态检测工具基本没有办法,从VT上看整个免杀的效果也是非常好的2 双漏洞结
2016-11-22 00:15:25
1320
原创 IE火狐的代理服务器的设置
前面已经安装了Burp suite,现在开启IE或者是狐火的代理服务器1 IE代理服务器的开启方法在菜单的工具栏中点击Internet选项,在最后一个然后出现了然后点击连接然后在点击局域网设置然后在出现的代理服务器的下面点勾由于Burp suite默认的IP地址和端口是127.0.0.1 8080然后填上就可以了 2火狐在最右边的三条杠也就是
2014-10-25 21:11:51
751
原创 PE文件之DOS头
微软为了照顾兼容性,在以后的PE文件中也加入了Dos头在DOS头有两个部分1 DOS MZ头结构体为IMAGE_DOS_HEADER STRUCT{+0h WORD e_magic // Magic DOS signature MZ(4Dh5Ah) DOS可执行文件标记+2h WORD e_cblp // Bytes on last pageof
2014-10-25 14:04:48
550
原创 PE地址名词总结及基本概念
1地址 PE文件中涉及的地址有四类1虚拟内存地址(VA) PE文件对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址是VA,VA的范围是4GB。在VA中VA=进程基地址+RVA. 2相对虚拟内存地址(RVA) 模块:同时加载到进程空间的文件,如一个进程和同时要加载的动态链接库都是模块 每个模块都有一个基地址。如果两个模块的基地
2014-10-25 10:51:27
1159
原创 最长公共子序列
一个给定的子序列是在该序列中删去若干元素的得到的序列。确切的说,若给定序列X={x1,x2,…,xm}则另一序列Z={z1,z2,…,zk},是X的子序列是指存在一个严格递增下标序列{i1,i2,…ik}使得对于所有j=1,2,..k有zj=xi,例如序列Z={B,C,D,B}是序列X={A,B,C,B,D,A,B}的子序,相应的递增下标序列为{2,3,5,7}。给定两个序列X和Y,当另一序列
2014-10-25 10:44:09
849
原创 假定一副新扑克牌的顺序为:大王、小王、黑桃A,2,3,…,T,J,Q,K、红心A,2,3,…,T,J,Q,K、方块 A,2,3,…,T,J,Q,K、梅花A,2,3,…,T,J,Q,K。现将两副扑克牌摞
(1) 假定一副新扑克牌的顺序为:大王、小王、黑桃A,2,3,…,T,J,Q,K、红心A,2,3,…,T,J,Q,K、方块A,2,3,…,T,J,Q,K、梅花A,2,3,…,T,J,Q,K。现将两副扑克牌摞放在一起,然后将最上面的一张牌舍去,将之后的一张牌移到整副牌的最下面,重复此过程。问:最后剩下的是哪张牌?(2) 设置一个足够大的数组然后将牌放入数组中,按照规则直到剩到最后一张牌
2014-10-08 20:11:35
6968
1
原创 输入正整数 k,找到所有的正整数 x ≥ y,使得 1/k =1/x + 1/y
(1) 输入正整数 k,找到所有的正整数 x ≥y,使得 1/k =1/x + 1/y (2) 经过化简后 y(3) 源程序代码
2014-10-08 20:09:55
7664
2
原创 任何一个能够被3整除的正整数,取各位数字的立方和,再取各位数字的立方和, 重复有限次,必得到 153 这个数,且 153 再重复也还是153
(1) 任何一个能够被3整除的正整数,取各位数字的立方和,再取各位数字的立方和, 重复有限次,必得到 153 这个数,且 153 再重复也还是153(2) 输入一个数然后验证(3) 源程序代码
2014-10-08 20:07:27
1139
原创 12球问题
(1) 有十二个球,从外观上看,大小、色彩、形状完全一样。只是在重量上,多数球(其中十一颗)是标准重量(标准重量是多少?不知道),只知道有一颗球与其余十一颗的重量不同,但不知道是偏重还是偏轻。有一只天平,没有砝码。你能用这只天平,称量三次,找出那颗重量不标准的球吗?而且要确定那颗不标准的球是轻了还是重了。(2) (3) 源程序代码
2014-10-08 20:05:54
617
原创 鸡兔同笼
问题: 今有鸡、兔若干,它们共有a个头和b只脚,问鸡兔各多少解决方案 1、抬腿,即鸡“金鸡独立”,兔两个后腿着地,前腿抬起,腿的数量就为原来数量的一半。 2、现在鸡有一只脚,兔有两只脚。笼子里只要有一只兔子,脚数就比头数多1。 3、那么脚数与头数的差就是兔子的只数。 4、最后用头数减去兔的只数就得出鸡的只数。 所以,我们可以总结出
2014-10-08 20:03:33
761
原创 找规律 (1) 1, 2, 4, 7, 8, 11, 14, 16, 17, 19, 22, 26, 28, 29, 41, 44, ?
程序说明 操作系统:win7 64位专业版 集成环境:vs2010 以下代码经过测试好用
2014-10-08 19:58:29
2080
原创 合并排序
合并排序是成功应用分治技术的一个完美例子。对于一个需要排序的数组A[0..n-1],合并排序把她一分为二:A[0..[n/2]-1]和A[[n/2]..n-1],并对每个子数组递归排序然后把这两个排好序的子数组合并为一个有序数组。
2014-09-26 13:24:01
572
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人