- 博客(6)
- 收藏
- 关注
RSS订阅原创 恶意代码分析小技巧-dump文件修复
跟着大佬得文章进行dump,修复对应区段,继续分析的时候出现了下图所示的问题,,有些地址上的数据是红色的,查了下是重定位错误。
2024-06-25 18:16:03
240
原创 恶意代码分析小技巧 -服务的调试
4.执行步骤2中的 startService 函数,让程序创建服务成功,同时获取对应的PID,由于步骤3中的汇编代码修改,会造成程序的循环运行,所以系统运行会比较慢。5.启动调试器附加对应的PID,之后将原始的opcode码修改回去即可完成服务的调试。2.宿主程序中对 startService 函数下断点。3.将目标dll文件进行修改,满足。1.释放服务文件到目标文件夹。
2024-06-21 15:35:52
373
原创 恶意代码分析小技巧-COM接口分析
5.将IDA中 CoCreateInstance 参数ppv的参数类型修改为 IShellLinkW*,修改完成之后相关函数被识别,但是函数中存在QueryInterFace函数查询接口,可以根据上述方式获取到riid = {0000010B-0000-0000-C000-000000000046},继续查询发现接口名称为 IPersistFile ,同样,直接修改类型即可识别出所有函数。2.将数据进行格式化,还原为rclsid的原始模样,可以使用IDA-python脚本进行还原,还原后可得如下信息。
2024-06-21 15:34:58
666
原创 恶意代码分析_RtlSetProcessIsCritical函数
在网络安全事件发生后,取证人员会对目标机器进行调查,包括对受害机器上的可疑进程和服务进行排查和处理。攻击者可能会采取一种迷惑性的方式,试图让排查人员误认为这些进程是Windows系统进程,以阻碍调查。一种常见的手法是在相关人员试图关闭恶意软件所在的进程时,故意引发Windows蓝屏异常,从而误导排查人员。
2023-08-21 14:09:23
230
原创 web安全学习:001.信息搜集
1 弱口令默认后台:admin,admin/login.asp,manage,login.asp等等常见后台2 查看网页的链接:一般来说,网站的主页有管理登陆类似的东西,有些可能被管理员删掉3 查看网站图片的属性4 查看网站使用的管理系统,从而确定后台5 用工具查找:wwwscan,intellitamper,御剑6 robots.txt的帮助:robots.txt文件告诉蜘蛛程序在服务器上什么样的文件可以被查看8 查看网站使用的编辑器是否有默认后台9 短文件利用。
2023-07-29 10:32:41
1159
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人