逆向/病毒分析的日常

最新推荐文章于 2024-04-08 21:17:33 发布
最新推荐文章于 2024-04-08 21:17:33 发布
阅读量245 收藏
点赞数
分类专栏: 病毒分析 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39561364/article/details/115961572
版权
本文以幽默诙谐的方式描述了在进行复杂恶意程序如WanaCry的逆向分析过程中,从初期的兴奋到面对层层函数调用、进程线程嵌套时逐渐消磨的信心。作者通过自身经历展示了逆向分析的复杂性和心理变化,揭示了该领域的技术挑战。
摘要由CSDN通过智能技术生成

逆向/病毒分析的心态日常

  对于一些相对简单的样本,整体的心态还是很稳定的,但是对于像WanaCry这种较为复杂的恶意程序来说,当程序分析开始时仅仅存在两三层函数/进程调用,是充满信心和激情的,觉得希望就在前方,仿佛看见了成功的曙光;但当深入分析后,会发现程序变得复杂,处理函数多层嵌套外,进程和线程的嵌套也非常复杂,进程和函数间的交叉嵌套同样复杂化,随着分析的深入,整个心态的变化如下:

  • 当我看到一个函数调用:哈哈哈… 核心功能肯定在这里,开心 ( ̄︶ ̄*))
  • 跟进去后发现套了另一个函数:哟,还套了一层,接着跟( ̄︶ ̄)↗
  • 跟进去后,发现又创建了一个进程:原来是在这里等着我呢 ( ̄︶ ̄)↗
  • 跟入进程地址,发现多个函数调用:不着急,胜利就在前方 φ(* ̄0 ̄)
  • 再次跟入函数,发现其他函数调用:看你能套几层 ㄟ( ▔, ▔ )ㄏ
  • 再次跟入函数,发现创建线程:我擦!又搞了个线程,你是打败不了我的,接着跟
    (  ̄^ ̄)
  • 跟入线程首地址,发现函数嵌套:尼玛,老母猪戴胸罩——一套又一套,看我给你扒光 ( ̄へ ̄)
  • 再次跟入函数,发现有一个线程创建:尼玛,不想玩了 (╯°□°)╯ ,我再试试最后一步
  • 跟入线程地址,发现又有多个函数嵌套:草!! (σ`д′)σ 我的忍耐是有限度的,我再试试最后一步
  • 跟入函数地址,发现又一个线程创建:不玩了,尼玛的 !asdadbkdhuoweovwbenoovw0vbow —— (砸键盘!!!!)
    —— w(゚Д゚)w —— w(゚Д゚)w —— w(゚Д゚)w ——
  • 起来喝杯茶,然后上个厕所,调整一下心态,又回到电脑前:唉… 能有什么办法,还得接着搞,继续往下跟… ┗( T﹏T )┛



在这里插入图片描述

长白山下大绵羊
关注
专栏目录
iOS逆向之初识汇编的基础理论
╰つ栺尖篴夢ゞ
09-08 2897
一、汇编语言 ① 汇编语言的发展 机器语言:是由 0 和 1 组成的机器指令,表示特定的功能,如下所示: 加:0100 0000 减:0100 1000 乘:1111 0111 1110 0000 除:1111 0111 1111 0000 汇编语言(Assembly language):由于使用机器语言表示时不方便记忆,于是便开始使用“助记符”来代替机器语言。例如,使用助记符表示的加减乘除: 加:INC EAX 通过编译器 0100 0000 减:DEC EAX 通过编译器 0100
[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、定时关机、蓝屏攻击)
杨秀璋的专栏
02-03 6687
作者前文介绍了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解;这篇文章将讲解简单的病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
病毒分析教程第四话--高级静态逆向分析(下)
安全杂货铺
08-15 924
t
一个感染型的病毒逆向分析
Fly20141201. 的专栏
07-16 3623
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。 对于代码的具体分析: 关键
简单病毒逆向分析
最新发布
qq_62016430的博客
04-08 1118
电脑病毒(computer virus),或称电子计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发启动的行为。
对伪装docx文件病毒逆向分析
哆啦安全
04-26 759
1.病毒文件的基本信息分析 1.1病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 1.2病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 1.3trojan.generic病毒的定义信息 trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件...
病毒分析教程第三话--静态逆向分析(下)
安全杂货铺
07-17 1138
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
有关逆向思维的例子案例分析.docx
12-22
案例二:哈桑借据法则展示了逆向思维在日常生活中解决矛盾的方式。当哈桑丢失借据面临可能的损失时,他通过向借款人索要超出实际借款的金额,巧妙地触发了对方的记忆和诚信,最终得以收回借款。 案例三:在面对草原...
Strings字符串分析工具
04-17
在计算机领域,字符串分析是一个重要的技术手段,尤其在病毒分析逆向工程和软件调试中扮演着不可或缺的角色。Strings工具就是这样一个强大的实用程序,它能够从二进制文件中提取出可打印的字符序列,为分析人员...
2017年恶意代码威胁回顾和快速分析实践.pdf
08-08
我们下面将分享一些在我们日常工作中针对不同类型样本自动化分析的一些方法和例子。我们会结合过去一年中的重点事件讲述这些技巧的应用。我们还会讲到我们在分析NotPetya勒索病毒过程当中一些有趣的发现。 内容提纲 ...
感染型病毒逆向分析
07-16
一个感染型病毒逆向分析,说实话分析的不咋地,没有解决就等于没分析
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1548
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
病毒逆向分析
笔记本
03-18 4040
收到一个病毒样本,被告知高危,需要进行逆向分析分析完成之后写篇你想分析报告,第一次写病毒逆向报告,还不太会排版,见谅。 首先,先拿到病毒传到世界杀毒网上先看看检出率,不出意料,检出率还挺高(60 / 66),毕竟不算是特别新的病毒了, 但是在高检出率的同时,virustotal和腾讯的哈勃分析系统都没能检测到什么关键的病毒行为(腾讯只检出了打开事件,virustotal只检出Isdebug...
病毒分析之我见
huobengle
11-03 118
转自:UNPACK 作者:乌龟 这两天逛了几个国内知名的反病毒的论坛或是版块,不知道是各位同行没有兴趣讨论还是为什么。病毒分析报告看到了不少,可是难道我们真正需要的只是一个答案?一份报告吗?或许我们更需要的是如何提高自身的分析能力。我们都想有更高的收入,但对于一个公司来说,付出更高的回报也许不是问题,前提是员工能创造更大的价值,怎样才能让自己的逆向能力合法的转化为更高的回报呢?也许这...
逆向病毒要注意的函数
Starr
09-24 369
文章目录进程(注入,创建)AdjustTokenPrivileges()CreateRemoteThread()SetWindowsHookEx()CreateToolhelp32Snapshot()ShellExecute()关于动/静态分析CreateProcess()注册RegOpenKeyEx(), RegCreateKeyEx()文件FindFirstFile(), FindNextFi...
病毒分析流程总结
auriel的博客
04-27 6461
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
9月22号360电话面试——病毒分析
Juery_Lee的专栏
01-14 2416
360面试
技术面试问题汇总第006篇:腾讯管家反病毒工程师-电话面试
Gleam的专栏
01-07 5746
一、前言         我在2015年的1月5号的中午,很荣幸地参加了腾讯管家反病毒工程师的电话面试。其实能够接到这次的面试让我有些惊讶。首先,能够给腾讯投简历,纯属机缘巧合。其次,简历是1月4号下午投的,竟然还没到24小时就接到了电话面试。最后,突然面试我,我也是吓了一跳,毕竟什么准备都没有,不像之前的金山,还给了我五个小时的准备时间。不过突然袭击也好,能够直接反映出一个人的真实水平。  
[安全攻防进阶篇] 一.什么是逆向分析逆向分析应用及经典扫雷游戏逆向
热门推荐
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
C语言实现的机器狗病毒驱动逆向分析
"这篇资源是关于机器狗病毒的驱动逆向分析,提供了C语言的代码示例,由用户dream2fly分享。这个代码可能用于理解病毒的工作原理,但强调不应用于非法活动。代码中涉及了NT内核定义、设备对象交互、IO控制代码以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值