逆向分析
文章平均质量分 86
HadesW_W
软件安全行业,游戏安全,病毒,反病毒,逆向,破解
展开
-
病毒分析之“驱动人生”挖矿木马分析及其清除方案
“驱动人生”挖矿木马分析及其清除方案0x00 概述自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...原创 2019-11-01 11:06:32 · 10860 阅读 · 0 评论 -
游戏安全之借刀杀人
游戏安全之借刀杀人0x0简介我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被...原创 2019-08-08 00:34:07 · 1302 阅读 · 3 评论 -
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)0x0病毒概况撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。撒旦病毒通过大量漏洞利用工具,扫描入侵主机。成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。0x1恶意行为1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件...原创 2018-10-31 17:08:43 · 2964 阅读 · 8 评论 -
病毒分析之伪装360主动防御病毒分析_XiaoBa-20
病毒分析之伪装360主动防御病毒分析_XiaoBa-20样本概况说明:此样本应该是之前被抓的黑客XiaoBa的中期作品。(见下边截图信息)样本最初于18年1月份发布,我这里于18年2月份捕获,样本并不是太复杂,但影响范围比较大。作者病毒家族流行情况见:https://bbs.pediy.com/thread-230294.htm文件: C:\Users\Hades-win7...原创 2018-08-20 16:31:13 · 888 阅读 · 0 评论 -
病毒分析之Virut病毒感染样本分析(setup.exe)
病毒分析之Virut病毒感染样本分析(setup.exe)样本概况文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe大小: 369664 bytes文件版本:8.0.50727.42 (RTM.050727-4200)修改时间: 2014年4月21日, 11:18:00MD5: E29DAE6188A0B0BB797C42F68D8DFA...原创 2018-07-16 15:19:15 · 7411 阅读 · 3 评论 -
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...原创 2018-07-16 14:54:26 · 3029 阅读 · 0 评论 -
010Editor(v8.0.1最新版)逆向_另类的破解
010Editor(v8.0.1最新版)逆向_另类的破解软件简介010Editor是一款采用QT界面库编写的,兼容多操作系统的十六进制编辑软件.功能强大,简单易用.逆向环境及工具系统环境:Window 7 32bit使用工具:OllyDbg,IDA本次测试版本为官方最新版:Name:010 Editor for Windows 32-BitVersion: 8.0.1, Windows 10/8/...原创 2018-06-01 17:06:01 · 6178 阅读 · 0 评论 -
010Editor(v8.0.1最新版)逆向_算法分析及注册机编写(附可用key和源码)
010Editor(v8.0.1)逆向分析0x0软件简介010Editor是一款采用QT界面库编写的,兼容多操作系统的十六进制编辑软件.功能强大,简单易用.0x1逆向环境及工具系统环境:Window 7 32bit使用工具:OllyDbg,IDA本次测试版本为官方最新版:Name:010 Editor for Windows 32-BitVersion: 8.0.1, Windows 10/8/7...原创 2018-06-01 16:53:08 · 2824 阅读 · 0 评论 -
安卓逆向(Android)之二__《全民捕鱼》游戏内购破解
安卓逆向之二__《全民捕鱼》游戏内购破解 环境简介系统:Android 4.4工具:Windows 10 64bit 夜神模拟器 Android Killer Java Decompiler 全民捕鱼游戏简介游戏名称:全民捕鱼游戏类型:休闲益智游戏版本:1.7游戏界面如下: 逆向分析首先我们进入商城点击付费金币的购...原创 2018-06-04 15:35:46 · 3541 阅读 · 0 评论 -
病毒分析之熊猫烧香
病毒分析之熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...原创 2018-05-22 19:50:45 · 8470 阅读 · 1 评论 -
Rookit技术之SSDT_Hook
Rookit技术之SSDT_HookRookit技术之SSDT_Hook0x0 SSDT简介0x1 测试环境0x2 达到目标0x3 主要思路0x4 关键代码0x5 测试效果0x0 SSDT简介SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...原创 2018-04-27 17:39:16 · 522 阅读 · 0 评论 -
手动脱壳-熊猫烧香病毒-FSG v2.0
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳 OllyDbg,动态调试,Dump内存 ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...原创 2018-04-24 15:36:30 · 1800 阅读 · 0 评论 -
纯手写简单PE
纯手写简单PE环境:Windows 10010EditorLoadPE(查看写的是否正确,文中并没有截图)目的:使用十六进制编辑器(010Editor)手写一个可在Windows10上运行的只弹出MessageBox对话框最简单的exe程序1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e...原创 2018-04-17 22:11:09 · 1473 阅读 · 0 评论 -
溢出漏洞原理及利用(3)
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅!接上一篇溢出漏洞原理及利用适用性更强的MessageBox适用性更强的MessageBox之前我们写的MessageBox,是直接在调试器中找到的地址.当模块使用动态加载基址的时候,我们重启系统或者在其他机器上运行的时候,函数地址就改变了. 为了程序在其他系统通用,需要动态...原创 2018-04-15 22:03:06 · 1143 阅读 · 0 评论