![](https://img-blog.csdnimg.cn/20190918140145169.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
病毒分析
小白学习病毒分析的记录,分享一些对病毒样本的分析报告
王大碗Dw
志不强者智不达
成为自己小时候想象的样子!
展开
-
《小白学分析》某勒索病毒分析报告
0x00 样本信息样本名称:eef83497e8aa02d644b7d071be81a678e1611aa6MD5:5853957178FE89022855A530A4B0AA20SHA-1:60AF429E4AFF32E49405DF04710F41757D30F4F0创建时间:星期一 01 七月 2019, 13.55.28壳:UPX0x01 测试环境及工具环境: Windows 7 x86工具: OD,IDA,PEiD,火绒剑。0x02 样本行为样本运行后,首先调用一些启动函数,获原创 2020-06-04 15:25:48 · 441 阅读 · 0 评论 -
小白学分析——熊猫烧香分析报告【附pdf】
样本来源:52破解 下载地址:https://www.52pojie.cn/forum.php?mod=misc&action=attachcredit&aid=1082475&formhash=a6a7f9590x00 样本信息名称:panda.exe文件大小:60.50 KB (61952 bytes)修改时间:2007.01.09MD5:3520D35...原创 2020-05-06 15:49:14 · 1247 阅读 · 1 评论 -
使用Process Monitor对病毒进行行为分析
使用火绒剑/Procss Moniter对病毒进行行为分析。Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。实验环境及工具win7 x86Process Monitor(因为火绒剑在病毒运行后打不开窗口)行为分析第一步:运行“”熊猫烧香,并进行监控使用过滤器,对PID 2724...原创 2020-05-04 23:25:53 · 3761 阅读 · 1 评论 -
如何手动查杀病毒【熊猫烧香】
手动查杀病毒流程手动查杀病毒木马有一套“固定”的流程,总结如下:1、排查可疑进程。因为病毒往往会创建出来一个或者多 个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。2、检查启动项。病毒为了实现自启动,会采用些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。3、删除病毒。在上一步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺...原创 2020-05-04 22:36:59 · 1745 阅读 · 0 评论 -
某后门病毒分析报告(4)——解密
接上篇后门病毒分析报告,里面有相关的C2加密,本文进行解密。动态解密:有一说一,之前动态调试的经验比较少,但是对这个样本感觉就是个找解密后的网址,感觉应该问题应该不大。但是在进行调试的时候,跳不到我想要的地方,发现是在服务的入口函数的地方,进不去,直接就执行结束了。遂上网找解决方案,网上答之:需要用调试服务专门的方法来进行调试。后来对照,进行解决,发现不好使,所以破罐破摔,直接硬跳,当然...原创 2020-04-14 00:20:19 · 269 阅读 · 0 评论 -
某后门病毒分析报告(3)——DDos攻击
接上篇后门病毒分析报告,对其中用到的DDos攻击进行相关了解。一个网友的举得比较形象的例子某饭店可以容纳100人同时就餐,某日有个商家恶意竞争,雇佣了200人来这个饭店坐着不吃不喝,导致饭店满满当当无法正常营业。(DDOS攻击成功)老板当即大怒,派人把不吃不喝影响正常营业的人全都轰了出去,且不再让他们进来捣乱,饭店恢复了正常营业。(添加规则和黑名单进行DDOS防御,防御成功)主动攻击的商...原创 2020-04-13 21:52:44 · 453 阅读 · 0 评论 -
某后门病毒分析报告(2)——IPC$内网渗透
接上篇后门病毒分析报告。第一个线程中,使用 ipc$ 进行局域网内中的主机进行干扰,下面对 IPC$ 进行一定的了解。IPC$ 基本概念**IPC$ (Internet Process Connection)**是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以...原创 2020-04-13 21:19:18 · 383 阅读 · 0 评论 -
某后门病毒详细分析报告(1)——适合新手
0x00样本信息样本名称:未知样本家族:NITOL样本类型:样本类型:远控后门木马创建时间:星期二 11 十月 2016, 09:49:04文件大小:21.00 KB (21504 bytes)MD5: 5B8BC92296C2FA60FECC6316AD73F1E2SHA-1: 44B95162F85B81E71E5F2E7ABBC904A6339CE0AA病毒行为:病毒...原创 2020-04-11 22:14:35 · 2349 阅读 · 1 评论