![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒分析
kernweak
日子越来越有判头了
展开
-
主机安全笔记
主机安全笔记,仅供自己平时复习。原创 2021-08-19 00:21:29 · 271 阅读 · 0 评论 -
安全笔记导图
平时总结的导图,供自己复习面试下。菜鸡安全笔记原创 2021-04-07 17:11:51 · 169 阅读 · 0 评论 -
基于CVE-2018-20250的漏洞的漏洞分析与APT-C-27(黄金鼠)攻击文档分析
样本概况样本信息文件名:3a6cc90db63a6d09721886b6e3f795e32f355d42e8faef560349ec068a9435f1.rarSize: 185528 bytesModified: 2020年4月24日, 12:27:20MD5: 314E8105F28530EB0BF54891B9B3FF69SHA1: 8C9B88EE829B880...原创 2020-04-25 03:24:44 · 1087 阅读 · 2 评论 -
ShellServiceObjectDelayLoad注册表键值作用
ShellServiceObjectDelayLoadShellServiceObjectDelayLoad是一个未公布的注册表项,可以将组件关联到这个键,这样一来,系统启动时间EXPLORER将自动加载目标组件.这就是某些病毒将自己注射到EXPLORER的办法.我们经常会遇到这样的事情,IeXPLORER的首页设置为BLANK,注册表RUN键的值也为空,但就是每隔一会儿有莫名其妙的网页自动...原创 2020-04-02 23:37:12 · 595 阅读 · 0 评论 -
linux的errno返回值含义
逆向linux样本遇到一个函数linux中关于errno1)errno是一个整型变量,当系统调用和一些库函数发生错误时会通过设置errno的值来告诉调用者出了什么问题。2)errno的有效值都是非零的。(这个manpage有个悖论,第二段中说,errno从来不能被设为0,而在第三段又说有些接口会将其设置为0)3)errno在ISO C标准中定义的,它可能是一个宏并且不能被显示声明(...原创 2019-11-12 13:24:31 · 2802 阅读 · 0 评论 -
centos下安装clamAV
https://blog.csdn.net/u011405698/article/details/88032736上面是环境搭建,可能问题会出在Zlib,下面是Zlib的配置https://blog.csdn.net/sirria1/article/details/83115582原创 2019-09-09 11:42:11 · 147 阅读 · 0 评论 -
病毒样本来源
https://bbs.pediy.com/thread-253872.htm原创 2019-08-26 09:43:37 · 1894 阅读 · 0 评论 -
批处理脚本编写学习
WMIC部分进程部分结束进程wmic process [handle/PID] deletewmic process [handle/PID] call terminate结束svchost.exe进程,路径为非C:\WINDOWS\system32\svchost.exe的wmic process where "name='svchost.exe' and Executable...原创 2019-08-22 13:30:33 · 405 阅读 · 0 评论 -
病毒分析常用软件
Process Explorer进程浏览器,可以使用验证Dependency Walker探索动态链接函数RegShot 注册表比较工具ApateDNS 查看恶意代码发出DNS请求。Netcat进行网络监控Wireshark 抓包INetSim 基于linux模拟常见的网络服务软件Process Explorer 可以看加载的dll还有handleProcess M...原创 2019-08-20 16:35:16 · 1886 阅读 · 0 评论 -
鬼影3分析笔记
这是学习笔记,供自己再次调试回忆,别人看没什么价值,因为写的太乱了。而且有些点自己也没理清前面是wowocock老师的文档首先根据教程了解到感染好mbr之后存在磁盘最后的区段的信息有1.ProtectMode Code是Hook了OsLoader.exe之后获得控制权时执行的代码。2.Hello_tt.sys是病毒的主要驱动模块,Mbr最终实现是吧将Hello_tt.sys替换掉S...原创 2019-06-25 21:48:16 · 1138 阅读 · 1 评论