恶意代码技术理论:使用python分析恶意代码
PEfile 一个流行的、长期代表性的PE文件分析库被称为pefile。这个模块提供了对可移植可执行文件结构的简单访问。 另一个最近的、更加通用的跨平台库称为library来测试可执行格式(LIEF),它包含一个用于PE文件分析的Python模块(在这里有文档说明)。 使用方法 打印基本PE信息 import pefile pe = pefile.PE(&#……
IDA系列教程:IDA加载器
VIEW-OPEN SUBVIEW-SEGMENTS 加载段 可以看到程序段自动加载! 但是头部却没有加载! Start End是开始和结束地址! R可读 W可写 X(EXECUTION)可执行 D(DEBUGGER) L(LOADER) D是以调试器模式加载程序并显示加载的段时被调用。 L显示加载器加载的内容和其他不太重要的列. 如果想要加载头,那……
IDA系列教程:基于堆栈传输特定指令
什么是堆栈? 堆栈是一个内存部分,其中的访问模式为FILO,表示先进先出。 它允许保存和恢复数据。对于数据处理,有两个基本操作: PUSH将对象放置在堆栈上,其反操作POP取出最后被压入的元素。 在任何时候,它只能访问堆栈的顶部或最后推送的对象 通常,在32位中,PUSH用于在调用CALL之前将函数参数发送到堆栈 PUSH 64将dword 64放在堆栈的……
合天网安实验室:TP-Link sr20远程命令执行漏洞
1 概述 远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。 通过本次实验学习使用qemu模拟路由器环境,分析并复现某型号路由器远程命令执行漏洞。 TP-Link SR20智能家居路由器中的远程命令……
合天网安实验室:TEW-654TR注入漏洞
1 概述 TEW-654TR路由器SQL注入 2 实验 访问路由器后台登录的web界面抓包,可以看到html登录页面会将我们提交的用户名密码等提交给my_cgi.cgi 接下来下载该路由器固件,是一个zip文件:unzip FW_TEW-654TR_v1.0R\(1.10.12\).zip,解压之后使用binwalk对bin文件进行提取,进入文件夹即可发现提……
IDA系列教程:sp-analysis failed
某些函数在使用 f5 进行反编译时,会提示错误 “sp-analysis failed”,导致无法正确反编译。原因可能是在代码执行中的 pop、push 操作不匹配,导致解析的时候 esp 发生错误。 解决办法步骤如下: 用 Option->General->Disassembly, 将选项 Stack pointer 打钩 仔细观察每条 ca……
IDA系列教程:local variable allocation failed
此错误消息意味着反编译器无法使用寄存器和堆栈位置分配本地变量。 只有在配置文件中启用了HO_IGNORE_OVERLAPS之后,才会看到这个错误消息。如果输出中允许有重叠的变量,则以红色显示。 请检查所有相关功能的原型,包括当前的功能。变量类型和定义也可能导致此错误。 更新函数堆栈帧并创建正确的堆栈变量也可以帮助解决这个问题。 如果在对函数类型或变量类型进行……
恶意代码技术理论:恶意文档-PDF恶意代码分析
1. PDF文件结构 PDF是一种便携式文档格式,可用于显示包含文本,图像,多媒体元素,网页链接等的文档。它具有多种功能。 现在PDF版本正在不断更新,官方地址:https://www.adobe.com/devnet/pdf/pdf_reference.html PDF不仅具有文本功能,还具有更多功能。它可以包含图像和其他多媒体元素,可以受密码保护,可以执……
恶意代码技术理论:Android恶意代码分析
一 Android采用分层的架构 分为四层,从高层到底层分为nit进程会启动一个非常有意思 应用程序层(app+System apps) ↑ 应用程序框架层(Java API Framework) ……