![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
恶意代码分析
文章平均质量分 92
主要是利用ida和OD分析病毒和木马常用的技术
lilili260
这个作者很懒,什么都没留下…
展开
-
基于管道实现简单的shell后门
本文首发于安全客:基于管道实现简单的shell后门 - 安全客,安全资讯平台最近在分析恶意代码的过程中,遇到了基于管道的后门,于是就学习了一下基于管道的shell后门原理,自己动手写了一个简单的shell后门。分享一下,供大家交流,如有错误之处,欢迎指出。声明:本内容仅供用于分析恶意代码时参考相关原理,请自觉遵守相关法律,严禁使用相关技术进行任何非法目的。否则,自行承担后果。原理本次实现的是一个正向的shell,被控者作为服务器,在本地监听一个端口,hacker作为客户端,通过网络来连接。整原创 2021-11-16 17:02:15 · 2695 阅读 · 0 评论 -
一款专门针对高质量女性的易语言钓鱼样本简单分析
本文首发于合天智汇:网络靶场_在线网络安全学习平台|合天智汇由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼的样本,正好拿来学习学习,笔者是一边学习一边分析,如有不对之处还望各位批评指正。该样本图标如下:好像和前段时间流行的某人类高质量男性留着一样的发型?查看详细信息发现文件说明处还专门指出“高质量女性请运行”:看完文章,实战来体验下,点我易语言的特点要分析清楚易语言,首先得大概原创 2021-11-10 11:03:13 · 194 阅读 · 0 评论 -
逆向分析入门实战(五)
本文由作者首发于合天智汇:http://www.heetian.com/info/889本次是实现一个木马下载器(Trojan Downloader),从某个指定的URL中下载一个文件,并将其在后台偷偷运行起来。主要使用的API函数是URLDownloadToFile和WinExec。这次分两步开发,第一步开发一个复制自身到C盘windows目录的程序,然后再开发一个木马下载器,同时进行逆向分析。1开发复制自身的程序VC6.0默认情况下代码高亮效果不好,安装VC++6.0助手后效果会变好原创 2020-10-22 22:34:16 · 355 阅读 · 0 评论 -
逆向分析入门实战(四)
本文由作者首发于合天智汇:http://www.heetian.com/info/878这次我们对很多木马和APT组织常见的一个手法进行正向开发和逆向分析,这个手法就是当发现当前系统中存在特定的杀毒软件和行为监控软件等安全软件时,退出自身进程不再执行自身的恶意模块。其实这个原理还是很简单的,就是进程遍历,然后与这些安全软件的进程进行对比。进程遍历的常见方法是首先使用CreateToolhelp32Snapshot函数创建一个进程快照,这个快照是当前系统中所运行的所有进程,和使用Windows任务管理原创 2020-09-19 17:13:51 · 301 阅读 · 0 评论 -
逆向分析入门实战(三)
本文由作者首发于合天智汇:http://www.heetian.com/info/840之前两篇文章,针对恶意代码为了确保自身只有一个实例在运行进行了正向开发和逆向分析。逆向入门分析实战(一)、逆向分析入门实战(二)这种现象在恶意代码中非常常见,现在对上次的内容进行一个简要的回顾和扩展:使用ida pro对恶意代码进行反汇编时会发现如下特征:1、可以找到使用了windows的api函数 CreateMutex,该函数其中一个参数为互斥变量名。2、在调用CreateMutex函数之后,通常原创 2020-08-08 21:43:52 · 420 阅读 · 0 评论 -
从海量PE样本中挖掘伪造图标类恶意程序
大家好,我本次分享的内容是从海量PE样本中挖掘伪造图标类恶意程序。众所周知,很多恶意程序会将自己的图标伪装成常见的word图标、文件夹图标以及一些常用程序的图标。比如文件夹exe病毒会伪装成文件夹图标,以及最近一段时间爆发的WannaRen 勒索病毒就会释放出everything软件的图标来迷惑用户去点击。所以,我就萌发了从海量PE样本中提取图标来挖掘伪造图标类恶意程序的想法。对于单个PE样本,很容易提取其图标,一种常见的方法就是使用Resource Hacker。但对于大量的样本,我们应该怎么提取呢?原创 2020-05-09 20:03:13 · 468 阅读 · 0 评论 -
逆向分析入门实战(二)
本文由作者首发于合天智汇,http://www.heetian.com/info/747上次我们对主函数分析完成了,那么这次我们对子函数IsAlreadyRun进行分析。C语言代码IsAlreadyRun函数的C语言代码如下图所示:下面对其汇编代码进行分析:rep stosd之前,同样是入栈操作,我们无需仔细追究,重点关注call函数。1. CreateMutexA...原创 2020-03-21 08:41:33 · 1163 阅读 · 0 评论 -
逆向分析入门实战(一)
木马分析入门大家好,我最近从Web安全开始学习二进制安全,分享一下自己学习过程的收获和心得体会。由于是入门的内容,所以对于二进制大佬来说这很简单,所以本文主要面向的对象主要是和我一样一直做Web安全,又想入门二进制安全的人。本次我学习的案例是木马和病毒常用的一个技术:确保只有一个病毒或者木马在系统中运行,即运行单一实例。对于病毒和木马而言,如果多次重复运行,会增加暴露的风险。所以要确保系统...原创 2020-03-18 17:17:06 · 1949 阅读 · 0 评论