恶意代码技术理论:PE恶意代码分析
1. EXE 恶意代码分析 2. DLL 恶意代码分析 3. OCX 恶意代码分析 4. SYS 恶意代码分析 5. COM 恶意代码分析 6. windows加载可执行文件流程 程序加载后,CreateProcess系列函数创建进程,在windows上,进程用EPROCESS结构表示,线程用ETHREAD结构表示 进程相关的工作准备就绪后,还需要单独创建一……
恶意代码技术理论:AutoIT恶意代码分析
一 AutoIT概述 AutoIt(读音aw-tow-it)是一个用于Microsoft Windows的免费自动化语言。在它的早期发布版本中,这个软件主要旨在为微软Windows程序创建自动化脚本(有时也称为宏)但现在已经成长为包含了编程语言设计和全面功能的增强的软件。 在版本3中,AutoIt的语法结构调整为接近于BASIC系列的语言。它是使用经典数据模……
恶意代码技术理论:安卓恶意代码分析
获得Android设备的唯一序列号 Secure.getString(getContentResolver(),Secure.ANDROID_ID); Build相关属性 Build.BOARD // 主板 Build.BRAND // Android系统定制商 Build.CPU_ABI // cpu指令……
恶意代码技术理论:Delphi语言恶意代码分析
1 Delphi启动过程 参考连接: https://blog.csdn.net/sforiz/article/details/5427245 https://www.cnblogs.com/FKdelphi/p/12773388.html https://www.cnblogs.com/windlog/p/12354270.html prog……
恶意代码技术理论:使用python分析恶意代码
PEfile 一个流行的、长期代表性的PE文件分析库被称为pefile。这个模块提供了对可移植可执行文件结构的简单访问。 另一个最近的、更加通用的跨平台库称为library来测试可执行格式(LIEF),它包含一个用于PE文件分析的Python模块(在这里有文档说明)。 使用方法 打印基本PE信息 import pefile pe = pefile.PE(&#……
恶意代码技术理论:恶意文档-PDF恶意代码分析
1. PDF文件结构 PDF是一种便携式文档格式,可用于显示包含文本,图像,多媒体元素,网页链接等的文档。它具有多种功能。 现在PDF版本正在不断更新,官方地址:https://www.adobe.com/devnet/pdf/pdf_reference.html PDF不仅具有文本功能,还具有更多功能。它可以包含图像和其他多媒体元素,可以受密码保护,可以执……
恶意代码技术理论:Android恶意代码分析
一 Android采用分层的架构 分为四层,从高层到底层分为nit进程会启动一个非常有意思 应用程序层(app+System apps) ↑ 应用程序框架层(Java API Framework) ……
恶意代码技术理论:GoLang恶意代码分析
基础知识 执行顺序 执行 runtime_init() 启动GC gcenable() 执行 main_init() (init是由Golang的编译器为每个包生成的,用于初始化该报所依赖的其他包以及该包的全局变量) fn := main_init fn() 执行main函数,此时程序进入用户的代码 fn = main……
恶意代码技术理论:宏病毒恶意代码分析
一 概述 宏病毒是一种常见的计算机病毒,寄存在文档或模板中,但是并不会直接感染可执行程序。其诞生于上世纪90年代,自其诞生之日,各种各样的宏病毒不断在网络上涌现。早期的宏病毒是病毒先驱者们展现高超技术的舞台,只感染文档文件,随着时间的推移,宏病毒的危害也越来越大,宏病毒不再只是感染文档文件,而成为了分发恶意程序的常规途经。宏病毒的执行简易隐蔽快速,一旦用户打……