- 博客(4)
- 收藏
- 关注
RSS订阅原创 源码学习:Mirai源码
2020/04/20 -(文章写的比较乱,主要就是记录一下自己的学习过程)今天看了两个论文,一个是发表在顶会的对论文的分析,主要是从病毒的传播上来进行分析,简单分析了一些流量的特征;另一个是硕士的毕业论文,对源码进行了稍微全面的分析。文章[1]是对这个病毒的源码分析,但是他图中就写的不对,他是说loader对服务器进行爆破,实际上应该是病毒进行爆破,而loader承担的是收到已经爆破达到的用...
2020-05-24 10:51:29
1352
原创 概念基础:恶意软件混淆的方法
2020/05/20 -看了一些网站的内容,发现主要存在四种方式。xor加壳base64编码rot13(arm的一个指令)[1][2]分别是简答介绍了这集中方式。[3]是一个实验室的工具,可以取出一些混淆的字符串,但是只支持pe格式;在原理方便他也介绍了,就是查找存在的xor过程的函数,然后解密。不过,我在想,其实我也能在ida中定位这个函数的位置,但是这种东西是怎么自动化呢?...
2020-05-24 10:44:05
883
原创 逆向:UPX脱壳
2020/05/18 -引言本身对加壳这种东西只是知道,只知道可以使用软件进行自动化脱壳,没有具体了解过原理。然后,最近部署的蜜罐经常下载UPX加壳的样本。这次就来分析一下。学习到的东西利用vim修改十六进制内容upx脱壳样本首先,蜜罐中经常下载的一个文件名称为i。i样本文件已经stripped,然后通过string命令查看,大部分字符串没有什么意义,但可以看到有...
2020-05-18 14:43:48
2013
原创 威胁情报
2020/05/01 -引言之前总是看到各种威胁情报,各种乱七八糟的定义,各种什么高级的词汇,什么上下文,什么攻击,统统看不懂。但是你去搜索威胁情报,国内几家比较知名的,或者说国外的,发现他们的网站提供的服务,就是IP,域名,文件检测这些内容。这个时候就非常疑惑了?那么威胁情报就是这些东西吗?这些东西不就是沙箱,或者爬虫爬取IP进行标注吗?360关于威胁情报[2]的网站上,会给出一些报告...
2020-05-01 16:59:32
1489
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人