恶意代码分析实战-PE资源提取

最新推荐文章于 2024-04-19 16:38:13 发布
最新推荐文章于 2024-04-19 16:38:13 发布
阅读量190 收藏
点赞数
原文链接:http://www.cnblogs.com/17bdw/p/10254660.html
版权

场景

1、提取恶意代码中的资源部分内容

思路

存在Loadresource函数的时候说明有一部分内容在资源里。

技术点

Lab1-4

ResourceHacker打开保存资源,载入IDA查看

549050-20190111132658003-634465531.png

549050-20190111132853256-772341764.png

转载于:https://www.cnblogs.com/17bdw/p/10254660.html

weixin_30614109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1494
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3577
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
PE文件提取工具
01-20
PE文件 提取工具 逆缘论坛制作本人收藏现在共享给大家
软件推荐:智能PE资源提取
weixin_33753003的博客
07-18 153
这是我3年前参考着Thomas Kabir写的资源提取器而写的,3年来一直用得很顺手,是一个短平快的PE资源器,用以抽取PE格式文件中的位图、图标、光标、动画图标、动画和网页,不能解自定义格式,如果大家有需要,我可以添加。它采用向导式提取,并按照资源类别对资源进行保存(不同目录),并会给出一个详细的报告。它使用VB6开发,因为使用了MS Common Controls控件,所以如果您的机器中没有该...
FindResource提取PE文件中的资源
qq_41490873的博客
01-05 2987
PE文件的资源为一个隐藏的PE文件,使用FindResource把它给提取出来,顺便理解一下资源函数的使用 // test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> #include "GgetPE_Info.h" int _tmain(int argc, _TCHAR* argv[]) { char *buffer = NULL; HRSRC hRsrc = NULL; // 获取指定模块里的指定
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(一)进程遍历
qq_44370676的博客
01-26 726
恶意代码研究1.进程遍历创建进程快照遍历首次进程遍历下个进程API调用链 恶意代码的包括计算机病毒、蠕虫、木马、后门、流氓软件、Exploit等等。 恶意代码常见功能技术如下:进程遍历,文件遍历,按键记录,后门,桌面截屏,文件监控,自删除,U盘监控。知己知彼,百战不殆。 1.进程遍历 进程遍历获取计算机上所有进程的信息(用户进程,系统进程),通常是为了检索受害进程,检测是否运行在虚拟机中,以及是否存在杀软等,有时候反调试技术也会检测进程名。所以在恶意代码中进程遍历很常见。 进程遍历的过程如下: 创建进程快
探秘PPLdump:一款强大的PE文件资源提取工具
gitblog_00032的博客
04-12 552
探秘PPLdump:一款强大的PE文件资源提取工具 PPLdumpDump the memory of a PPL with a userland exploit项目地址:https://gitcode.com/gh_mirrors/pp/PPLdump 项目简介 是一个开源项目,由开发者 itm4n 创建,主要用于分析提取Windows平台上的Portable Executable(PE)文...
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1506
第12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1329
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1582
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
PE提取驱动(GetPeDriver)
07-20
可以在pe的界面下提取本机驱动,避免系统启动不了时能及时保存驱动,方面系统的重新安装。
PE文件图片提取工具v1.0绿色免费版
07-25
PE文件图片提取工具是一款非常好用的PE文件图片提取工具。该款工具能够帮助用户提取无壳PE文件中的JPG格式和GIF格式的所有图片,方便好用,绿色无毒.如有需要欢迎前来下载体验 使用方法: 1、点击打开按钮,打开要操作的目标文件。或者直接把目标文件拖入到窗体中。 2、点击提取图片按钮。这时会在目标文件的相同文件夹里创建一个名为PeImage的文件夹,提取出来的文件以在文件中的FILEOFFS
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战 英文原版pdf
12-28
恶意代码分析实战,详细介绍了网络安全基本技术。包括:静态分析、动态分析、反汇编、IDA分析
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(二)文件遍历
qq_44370676的博客
01-26 224
文件遍历相关API函数结构体操作流程示例代码IDA反汇编后的伪代码 不管用什么计算机语言写代码,文件遍历都是不可或缺的操作,以便对文件进行批量处理。 对恶意代码来说文件读写就是必备功能了,比如说木马病毒窃取机密文件然后开一个隐秘端口将文件内容发送回去。 相关API 函数 这里用到了windows api提供的FindFirstFile和FindNextFile函数。 msdn对这两个函数的描述: FindFirstFile FindNextFileW FindFirstFile定义如下: 该函数查找指定
恶意代码分析实战 Lab21
baidu_41108490的博客
06-10 529
lab21-011lab09-02还记得话是需要改程序名才能正确运行,所以,程序不会发生什么额,我的IDApro识别出来main修改下面的jz位jmp其中r11是之前getmodulname得到的当前程序名,另一个由ocl.exe编码得到,windbg查看位jzm只有一个ecx图中只给出了9个参数的注释,还缺一个commandline参数...
PE文件注入恶意代码改变代码执行顺序教程
最新发布
m0_62574258的博客
04-19 803
E9后面的值=目的地址-(jmp指令地址+5)=00 00 10 00-(00 00 10 32+5)=FF FF FF C9(这里减法是一位一位运算,不够就向前面一位借16), FF在前面表示为负数,即往前面跳转,反写为C9 FF FF FF,所以jmp后面应该跟上C9 FF FF FF,即写成E9 C9 FF FF FF。ExitProcess函数的参数,程序退出码。call ptr[?call ptr[?call ptr[?ExitProcess的函数后面添加MessageBoxExa函数的参数,?
恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1507
恶意代码与软件安全】课程与实验
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值