![](https://img-blog.csdnimg.cn/20190927151043371.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
逆向分析基础
山高路远
王大碗Dw
志不强者智不达
成为自己小时候想象的样子!
展开
-
从汇编角度理解Windows API的调用过程
基础介绍我们在进行Windows编程的时候,经常会调用Windows API。在 Windows 程序中,调用 Windows 函数与调用 C 语言的库函数没有什么两样。最主要的区别就是 C 语言库函数的机器代码会直接链接到你的程序代码中去,而 Windows 函数则是放到你的程序之外的 DLL 里。每个 Windows 的 EXE 文件包含它所要用到的各个动态链接库以及库中的函数的引用地址。当一个 Windows 程序被装入内存后,程序中的函数调用都被解析 DLL 函数入口的指针,同时这些被调用的原创 2020-05-18 08:43:02 · 1109 阅读 · 0 评论 -
从汇编角度看++i和i++
对于初学C\C++的同学来说,一般来说,都会遇见一个问题:那就是++i和i++到底有什么区别?今天我们就从汇编角度看一下他们俩的区别:i++:int i = 0;i++;++i:int i = 0;++i;我们发现从汇编角度来说,似乎++i和i++,没有区别,都是先将数取出来赋值给eax,然后进行加1运算,再将eax里的值赋值给i。这时候,我们换一种方式++i:int i = 0; int j; j=++i;i++:int i = 0;int j;j=i++;原创 2020-05-16 17:35:02 · 475 阅读 · 0 评论 -
使用Process Monitor对病毒进行行为分析
使用火绒剑/Procss Moniter对病毒进行行为分析。Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。实验环境及工具win7 x86Process Monitor(因为火绒剑在病毒运行后打不开窗口)行为分析第一步:运行“”熊猫烧香,并进行监控使用过滤器,对PID 2724...原创 2020-05-04 23:25:53 · 3761 阅读 · 1 评论 -
如何手动查杀病毒【熊猫烧香】
手动查杀病毒流程手动查杀病毒木马有一套“固定”的流程,总结如下:1、排查可疑进程。因为病毒往往会创建出来一个或者多 个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。2、检查启动项。病毒为了实现自启动,会采用些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。3、删除病毒。在上一步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺...原创 2020-05-04 22:36:59 · 1745 阅读 · 0 评论 -
IDA的常见问题及解决方法
1. align 对齐伪指令对齐伪指令格式:ALIGN Num其中:Num必须是2的幂,如:2、4、8和16等。伪指令的作用是:告诉汇编程序,本伪指令下面的内存变量必须从下一个能被Num整除的地址开始分配。如果下一个地址正好能被Num整除,那么,该伪指令不起作用,否则,汇编程序将空出若干个字节,直到下一个地址能被Num整除为止。2.代码段,不能F5获得伪代码。解决方法:按“...原创 2020-04-20 22:48:54 · 4377 阅读 · 0 评论 -
如何绕过反调试技术——PhantOM插件总结
PhantOM是OllyDbg的一款插件,可以用来绕过大多数的反调试技术,功能十分强大,所以单独对这个插件进行使用总结。(Ps:现在似乎不怎么常用,在64位下的兼容性比较差,现在比较常用的是sharpOD,但因为在《恶意代码分析实战》接触PhantOM较多,所以先对之进行总结)一、如何安装OD的插件都比较简单,首先是找到插件的资源下载,将插件的dll放到OD目录下的plugin文件夹下即可。...原创 2020-04-10 10:40:22 · 2527 阅读 · 0 评论 -
如何绕过反调试技术——学习总结(4)
在之前的三篇文章,进行了绕过反调试技术的相关实验,先对其进行总结。如何绕过反调试技术——学习回顾(1)如何绕过反调试技术——学习回顾(2)如何绕过反调试技术——学习回顾(3)一、绕过数据结构的反调试(实际上那些反调试API也是通过这些成员识别反调试)例如BeingDubgged和NtGlobalFalg以及ProcessHeap的反调试技术。1.使用插件phantOM插件功能强大,可...原创 2020-04-09 19:26:19 · 1701 阅读 · 0 评论 -
如何绕过反调试技术——学习回顾(3)
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。记录学习过程,以待后来温习。反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...原创 2020-04-09 19:07:43 · 740 阅读 · 0 评论 -
如何绕过反调试技术——学习回顾(2)
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。记录学习过程,以待后来温习。反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...原创 2020-04-09 15:44:52 · 773 阅读 · 0 评论 -
如何绕过反调试技术——学习回顾(1)
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。记录初次学习,以待后来温习。反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...原创 2020-04-09 12:52:47 · 3605 阅读 · 1 评论 -
壳的自述:我是如何保护应用软件的。
我的自述壳——也许我生来就是为了保护你,我的公主(程序)。壳:就像花生种子被外壳包裹,蜗牛用壳保护自己,而我则是为了保护软件程序不受伤害(不被非法修改或被反编译),我像一个专属骑士,出生就是为了保护我的公主——“软件程序”。我一直站在公主的前面(加壳),为了保护她,发生任何事情的时候,我会将公主的行动权控制,而我会先于公主尝试,为她抵御伤害,在我进行完之后,我会放开对公主的保护(脱壳),把...原创 2020-04-03 16:11:19 · 393 阅读 · 0 评论 -
遇见你我该如何逃避你——反虚拟机技术概述
遇见你,我该如何逃避你?实际上我并想认识你。“恶意代码”是一个非常神秘的人,他最不想的就是被别人发现和了解,而“调试”和“虚拟机”是“恶意代码”最不喜欢的俩个人,因为他们总是能认出“恶意代码”,并且还可以走进他的内心,了解“恶意代码”行为的原因。“恶意代码”不想他们俩个人认出来,所以就想,遇见他们该如何躲开他们,保护自己神秘的形象,基于这些原因,他练出了自己逃避方法——反虚拟机技术。他的作战...原创 2020-04-02 23:13:48 · 730 阅读 · 0 评论 -
遇见你我该如何逃避你——反调试技术概述
本篇文章用来总结大概的反调试技术,并不详细,仅作概述。反调试技术恶意代码和一些软件用来防止代码被动态调试的一项技术。一、探测Windows调试器通过调试的痕迹去识别是否正在被调试。1.WindowsAPI1.1 IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中,函数返回0;如果调试...原创 2020-04-02 20:57:43 · 443 阅读 · 0 评论