![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒分析
文章平均质量分 90
长白山下大绵羊
安全路漫漫,菜鸡也有梦
展开
-
WannaCry病毒分析
样本类型:勒索病毒样本md5:84c82835a5d21bbcf75a61706d8ab549。原创 2023-12-11 17:33:14 · 1292 阅读 · 1 评论 -
逆向/病毒分析的日常
逆向/病毒分析的心态日常 对于一些相对简单的样本,整体的心态还是很稳定的,但是对于像WanaCry这种较为复杂的恶意程序来说,当程序分析开始时仅仅存在两三层函数/进程调用,是充满信心和激情的,觉得希望就在前方,仿佛看见了成功的曙光;但当深入分析后,会发现程序变得复杂,处理函数多层嵌套外,进程和线程的嵌套也非常复杂,进程和函数间的交叉嵌套同样复杂化,随着分析的深入,整个心态的变化如下:当我看到一个函数调用:哈哈哈… 核心功能肯定在这里,开心 ( ̄︶ ̄*))跟进去后发现套了另一个函数:哟,还套了一原创 2021-04-21 16:37:26 · 237 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-16
《恶意代码分析实战》实验——Labs-16记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载(*^-^*)《恶意代码分析实战》实验——Labs-16Labs-16-01实验静态分析:IDA分析动态分析问题Labs-16-02实验静态分析:IDA分析动态分析问题Labs-16-03实验静态分析:IDA分析问题Labs-16-01实验样本:Lab16-01.exe静态分析:查壳——无壳,Win32 console程序,需要命令行启动查看输入表——KERNEL32.DLL:读写原创 2021-04-21 15:46:20 · 270 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-15
《恶意代码分析实战》实验——Labs-15记录《恶意代码分析实战》中的实验,相关链接:电子书的下载标题《恶意代码分析实战》实验——Labs-15Labs-15-01实验静态分析:IDA分析问题Labs-15-02实验静态分析:IDA分析问题Labs-15-03实验静态分析:IDA分析问题Labs-15-01实验Lab15-01.exe静态分析:查壳——无壳查看输入表——MSVCRT.dllStrings分析——出现比较有意思的字符串IDA分析在main函数中发现xor原创 2021-04-21 14:27:43 · 236 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-14
《恶意代码分析实战》实验——Labs-14记录《恶意代码分析实战》中的实验,相关链接:电子书的下载标题《恶意代码分析实战》实验——Labs-14Labs-14-01实验静态分析:IDA分析动态分析搭建HTTP服务进行动态分析问题Labs-14-02实验静态分析:IDA分析动态分析问题Labs-14-03实验静态分析:IDA分析问题Labs-14-01实验样本:Lab14-01.exe静态分析:查壳——无壳查看输入表——Kernel32.dll:睡眠,创建终止进程,加载库文件等函数原创 2021-04-21 11:53:15 · 399 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-13
《恶意代码分析实战》实验——Labs-13记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载 《恶意代码分析实战》实验——Labs-13Labs-13-01实验静态分析:IDA分析——exe动态分析:问题Labs-13-02实验静态分析:Labs-13-03实验静态分析:静态分析Labs-13-01实验静态分析:查壳——无壳查看输入表——Kernel32.dll:加载资源,资源加锁,找到资源,加载库文件,写文件等函数WS2_32.dll: 主机解析函数,网络连接启动原创 2021-04-20 20:17:58 · 373 阅读 · 0 评论 -
恶意代码分析——熊猫烧香
恶意代码分析——熊猫烧香记录对一些恶意代码的分析标题恶意代码分析——熊猫烧香静态分析IDA分析静态分析查壳——FSG 2.0脱壳1) OllyDump找到OEP:2) OllyDump进行二进制Dump3) ImportRCE进行导入表修复,并且将新的导入OD中Dump下的二进制文件中4) 重新查壳:Delphi 编写(该在调用函数时,利用寄存器进行函数参数传递)但是导入表中却只识别出一个dll5) 按照上述的方式脱壳后,会发现在调试程序时会报原创 2021-02-24 19:52:22 · 626 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-09
《恶意代码分析实战》实验——Labs-09记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题《恶意代码分析实战》实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验Labs-09-01实验Labs-09-02实验Labs-09-03实验静态分析:1. 查壳,无壳2. 查看导入表:KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和删除文件,创建进程,对比字符串,获取系统版本原创 2020-10-22 18:07:48 · 819 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-06
《恶意代码分析实战》实验——Labs-06记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题《恶意代码分析实战》实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4Labs-06-1实验由main函数调用的唯一子过程中发现的主要代码结构是什么?1)选中main函数,然后右键查询出它的交叉引用图2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect原创 2020-09-28 16:45:59 · 644 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-05
恶意代码分析实战实验——Labs-05记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程标题恶意代码分析实战实验——Labs-05Labs-05-1实验Labs-05-1实验1. DLLmain函数地址是什么? 回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。2. 使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址原创 2020-09-14 20:18:24 · 734 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-03
记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程Labs-01-2 实验1.传至VT。2.是否被加壳或者混淆?如果加壳,请脱壳。操作:1)用PEID检测,发现被加壳:2)进行深度扫描后发现,是UPX加壳:3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写:3.有没有导入函数能够暗示出该程序的功能?操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。4.那些基于原创 2020-09-08 19:27:08 · 498 阅读 · 0 评论 -
《恶意代码分析实战》实验——Labs-01
逆向分析实战实验——Labs-01-1记录《恶意代码分析实战》中的实验,提供相关链接:电子书的下载i春秋由相关实验的视频教程Labs-01-1 实验1.上传到VT进行分析:2.文件是什么时候编译的?操作:用LordPE打开(其他的PE编辑器同样能完成),时间是2010年12月19日。3.程序是否加壳或者混淆?操作:用PEID进行检查:dll和exe都未加壳4.有没有导入函数说明这个程序是做什么的?如果有是哪些函数?操作:利用Dependency Walker 或者PEID原创 2020-09-08 18:05:47 · 633 阅读 · 2 评论