自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

wangtiankuo的博客

恶意代码分析学习记录

  • 博客(9)
  • 资源 (6)
  • 收藏
  • 关注
全部文章> 2017年08月
排序:
按最后发布时间
按访问量
RSS订阅
12月 09月 08月 07月 03月 02月 01月

原创 恶意代码分析实战 Lab09-01(1)

分析报告:1.     样本概况病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。1.1样本信息病毒名称:Lab09-01.exeMD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40CSHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54病毒行为:这一篇只写有参数下

2017-08-30 17:03:20 1902

原创 恶意代码分析实战 Lab16-02

知识点:TLS回调TLS回调被用来在程序入口点执行之前运行代码。若可执行程序的PE头部包含一个.tls段,则可能此程序使用了反调试技术。分析报告1. 样本概况样本名称Lab16-02.exe,编译器为Microsoft Visual C++ v6.0。1.1样本信息样本名称:Lab16-02.exeMD5值: E88B0D6398970E74DE1DE457B971

2017-08-30 16:28:42 668

转载 TLS回调函数

本文转载自http://www.cnblogs.com/dliv3/p/6489629.html作者:dliveTLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。TLS回调函数的调用运行要先于EP代码执行,该特性使它可以作为一种反调试技术使用。TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全

2017-08-30 16:19:30 1026

原创 恶意代码分析实战 Lab16-01

知识点:一、 使用windowsAPI来探测调试器是否存在反调试技术IsDebuggerPresentCheckRemoteDebuggerPresentNtQueryInformationProcessOutputDebugString二、 手动检测数据结构检测BeingDebugged属性fs:[30]指向PEB的基地址,PEB基地址偏移为2的地方是BeingD

2017-08-30 16:14:22 743

转载 Windbg双机调试配置

源文章地址:http://blog.sina.com.cn/s/blog_62be61550100zaoc.html作者:芯灵空间我自己配置这个,什么都对了,就是C:\boot.ini中debugport的值写成了COM1,添加串行端口时,显示的是串行端口2,所以更改配置文件时,debugport的值应为COM2。如果debugport的值出现错误,则windbg会一直卡在wa

2017-08-28 10:53:02 874

原创 恶意代码分析实战 课后题 Lab12-01

1. 样本概况病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。1.1样本信息病毒名称:Lab12-01.exeMD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA病毒行为:每隔1min弹出窗口。1.

2017-08-11 14:52:11 1361

原创 恶意代码分析实战课后题 Lab11-03

1. 样本概况病毒名称为Lab11-03.exe。运行后有窗口,编写语言为Microsoft Visual C++ v6.0。1.1 样本信息病毒名称:Lab11-03.exemd5值:18EC5BECFA3991FB654E105BAFBD5A4Bsha1只:1F3F79EDBB6607B9640DD6A99856EE858AF9CB55病毒行为:使用net star

2017-08-10 17:05:36 1914 2

原创 恶意代码分析实战 课后题 Lab11-02

这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。1.样本概况病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。1.1样本信息md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9sha1:79787427773DCCE211E8E65E1156BD60535494EC

2017-08-09 13:40:06 944

原创 《恶意代码分析实战》课后题 Lab11-01

1.行为分析资源节里面有一个可执行文件。对注册表的Winlogon进行了操作,创建了GinaDLL表项。创建了msgina32.dll文件,并向此文件中写入了长度为2560字节的数据。2.恶意代码分析2.1 对Lab11-01.exe进行分析根据main函数的伪代码,总结出程序的大致流程为,从资源节中导入文件,打开文件,对文件进行写操作-->获取当前文件的完整路径-->使用

2017-08-04 11:38:26 2000 1

计算机网络_ 自顶向下方法 _第6版_2014.10_548-_机械工业带书签.7z(解压密码CSDN)
计算机网络-自顶向下方法(第6版)机械工业出版社 带书签 共572页 9章

2019-06-03

MDaemon10.1.1与keygen(解压密码:CSDN)
MDaemon10.1.1与keygen(解压密码:CSDN),keygen只是生成Registration Key,不能永久激活,只是有30天试用期,等30天试用期过了可以再生成Registration key继续试用,仅供测试使用。

2018-09-06

nmake.exe,搭建Win32汇编开发环境需要用到的
由于MASM32 SDK软件包中没有nmake.exe,所以要单独寻找nmake.exe并拷贝到bin目录中。

2018-01-09

wireshark数据包分析实战详解(解压密码:CSDN)
wireshark数据包分析实战详解(解压密码:CSDN),扫描版的;有目录;一共3篇21章。

2017-12-26

DRAM的刷新
DRAM的刷新。集中式刷新、分散式刷新和异步式刷新。

2015-01-26

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除