![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向
文章平均质量分 95
长白山下大绵羊
安全路漫漫,菜鸡也有梦
展开
-
《恶意代码分析实战》实验——Labs-16
《恶意代码分析实战》实验——Labs-16记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载(*^-^*)《恶意代码分析实战》实验——Labs-16Labs-16-01实验静态分析:IDA分析动态分析问题Labs-16-02实验静态分析:IDA分析动态分析问题Labs-16-03实验静态分析:IDA分析问题Labs-16-01实验样本:Lab16-01.exe静态分析:查壳——无壳,Win32 console程序,需要命令行启动查看输入表——KERNEL32.DLL:读写原创 2021-04-21 15:46:20 · 270 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-15
《恶意代码分析实战》实验——Labs-15记录《恶意代码分析实战》中的实验,相关链接:电子书的下载标题《恶意代码分析实战》实验——Labs-15Labs-15-01实验静态分析:IDA分析问题Labs-15-02实验静态分析:IDA分析问题Labs-15-03实验静态分析:IDA分析问题Labs-15-01实验Lab15-01.exe静态分析:查壳——无壳查看输入表——MSVCRT.dllStrings分析——出现比较有意思的字符串IDA分析在main函数中发现xor原创 2021-04-21 14:27:43 · 236 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-14
《恶意代码分析实战》实验——Labs-14记录《恶意代码分析实战》中的实验,相关链接:电子书的下载标题《恶意代码分析实战》实验——Labs-14Labs-14-01实验静态分析:IDA分析动态分析搭建HTTP服务进行动态分析问题Labs-14-02实验静态分析:IDA分析动态分析问题Labs-14-03实验静态分析:IDA分析问题Labs-14-01实验样本:Lab14-01.exe静态分析:查壳——无壳查看输入表——Kernel32.dll:睡眠,创建终止进程,加载库文件等函数原创 2021-04-21 11:53:15 · 399 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-13
《恶意代码分析实战》实验——Labs-13记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载 《恶意代码分析实战》实验——Labs-13Labs-13-01实验静态分析:IDA分析——exe动态分析:问题Labs-13-02实验静态分析:Labs-13-03实验静态分析:静态分析Labs-13-01实验静态分析:查壳——无壳查看输入表——Kernel32.dll:加载资源,资源加锁,找到资源,加载库文件,写文件等函数WS2_32.dll: 主机解析函数,网络连接启动原创 2021-04-20 20:17:58 · 373 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-09
《恶意代码分析实战》实验——Labs-09记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题《恶意代码分析实战》实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验Labs-09-01实验Labs-09-02实验Labs-09-03实验静态分析:1. 查壳,无壳2. 查看导入表:KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和删除文件,创建进程,对比字符串,获取系统版本原创 2020-10-22 18:07:48 · 819 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-06
《恶意代码分析实战》实验——Labs-06记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题《恶意代码分析实战》实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4Labs-06-1实验由main函数调用的唯一子过程中发现的主要代码结构是什么?1)选中main函数,然后右键查询出它的交叉引用图2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect原创 2020-09-28 16:45:59 · 644 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-05
恶意代码分析实战实验——Labs-05记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题恶意代码分析实战实验——Labs-05Labs-05-1实验Labs-05-1实验1. DLLmain函数地址是什么? 回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。2. 使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址原创 2020-09-14 20:18:24 · 734 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-03
记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程Labs-01-2 实验1.传至VT。2.是否被加壳或者混淆?如果加壳,请脱壳。操作:1)用PEID检测,发现被加壳:2)进行深度扫描后发现,是UPX加壳:3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写:3.有没有导入函数能够暗示出该程序的功能?操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。4.那些基于原创 2020-09-08 19:27:08 · 498 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-01
逆向分析实战实验——Labs-01-1记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程Labs-01-1 实验1.上传到VT进行分析:2.文件是什么时候编译的?操作:用LordPE打开(其他的PE编辑器同样能完成),时间是2010年12月19日。3.程序是否加壳或者混淆?操作:用PEID进行检查:dll和exe都未加壳4.有没有导入函数说明这个程序是做什么的?如果有是哪些函数?操作:利用Dependency Walker 或者PEID原创 2020-09-08 18:05:47 · 633 阅读 · 2 评论 -
逆向分析CrackMe系列——CrackMe003
逆向分析CrackMe系列——CrackMe004本次进行CrackMe003的逆向分析,前面分析的crackme难度都是一颗星,这次来试试两颗星的 ( ̄▽ ̄)*(本系列的CrackMe资源均来自我爱破解网).1.运行程序,发现先出现一个小的nag提示面,然后弹出主程序框:2. 先拿PEID检查一下,用VB编写,无壳:3. 先绕过nag窗口,第一次除nag,该过程参考大佬分析至于为什么要除nag窗口,个人认为在用OD打开未去nag的程序时,很难找到相关的字符串或者其他的有效信息;当然也原创 2020-08-28 11:54:34 · 821 阅读 · 0 评论 -
逆向分析CrackMe系列——CrackMe004之注册码算法分析
逆向分析CrackMe系列——CrackMe004注册码算法分析本文内容承接前面的工作,记录了自己每一步的分析过程和思路,由于内容较长,故单独写一篇。(本系列的CrackMe资源均来自我爱破解网).18.通过前面的分析,初步认为生成算法就藏在刚刚的两个死循环中,我们一个一个来分析:19. 从00457FDC开始单步执行,在00457FDC处将edx指向了 [ebp-C],我们对[ebp-C]进行监控,F8继续执行,发现在call 00423348函数调用后,栈中的数据被改变了,[ebp-C] 的原创 2020-08-26 20:29:35 · 1211 阅读 · 0 评论 -
逆向分析CrackMe系列——CrackMe004
逆向分析CrackMe系列——CrackMe004这次进行CrackMe004的逆向分析, 由于003的难度较大,后面再分析,(。・∀・)ノ(本系列的CrackMe资源均来自我爱破解网).1. 老规矩,先运行程序。发现没有按钮,但是会提示 “注册成功后将会显示朱茵女神的美图一张” :2. 用PEID进行检查,发现用pehi语言编写,没有加壳3. 先用插件进行字符串搜索:4. 发现可疑字符串:5. 进行跟踪,发现该字符串的下部分为一个函数调用,猜测它为一个窗口函数,在输入正确时进行提示。原创 2020-08-24 20:19:06 · 514 阅读 · 0 评论 -
逆向分析CrackMe系列——CrackMe002
逆向分析CrackMe系列——CrackMe002这次进行CrackMe002的逆向分析 AfKayAs(本系列的CrackMe资源均来自我爱破解网). 1. 运行程序,随机输入,进行弹窗:2. 进行关键程序位置查找: 两种思路:用相关工具进行源程序分析(如PEID),分析出其是否加壳以及其编程语言(此处未加壳,语言为VB);然后对VB中相关的窗口函数进行下断即可。利用字符串查找(本次分析采用的方式):1) 在OD中打开程序并且运行,进行弹窗后(不要进行暂停),在主窗口程序中搜索原创 2020-08-20 10:25:42 · 1157 阅读 · 0 评论 -
逆向分析CrackMe系列——CrackMe001
逆向分析CrackMe系列——CrackMe001之前学的逆向都忘干净了,最近又重新学一学,这次从CrackMe入手。本系列的CrackMe资源均来自我爱破解网. 1. 运行程序,随便输入序列号后弹窗:2. 进入到主窗口程序后,下断点:bp MeaasgeBoxA 或者 MessageBoxW 因为不知道调用的是哪一个函数(在主窗口下新窗口的断点是为了在进行错误提示的时候进行暂停)3. 找到断下的位置:4. 然后进行回溯ctrl +F9,发现并不是主窗口程序,继续回溯:5. 继续回溯原创 2020-08-18 18:34:31 · 4027 阅读 · 0 评论