恶意代码技术理论:msi恶意代码分析
简介 MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。 MSI文件将程序的组成文件与功能关联起来。此外,它还包含有关安装过程本身的信息。如目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。采用MSI安装的优势在于你可以随时彻底删除它们,更改……
恶意代码技术理论:Confuserex
官方地址:https://yck1509.github.io/ConfuserEx/ github地址:https://github.com/yck1509/ConfuserEx ConfuserEx 是一个免费的、开源的 .NET 应用程序保护器。它是Confuser项目的继承者。 这个打包程序使用 LZMA 压缩算法减少了输出的大小。项目中只能有一个可执……
恶意代码技术理论:命名管道
命名管道如何工作 服务器负责设置命名管道,然后等待一个或多个客户端连接。然后,服务器和客户端将命名管道视为一个文件,使用 CreateFile、ReadFile 和 Write 文件通过管道进行通信。完成后,它们都可以像标准文件一样关闭管道。 利用powershell创建命名管道 try { $pipeName = "bad_pipe" $pipe……
恶意代码技术理论:修改capa输出自定义消息
flare-capa模块 适用于capa3.0.3 capa_ana.py #!/usr/bin/env python3 # -*- coding: utf-8 -*- # @Time : 2021/12/14 13:24 # @Author : wing import re import sys import json from……
恶意代码技术理论:Internet Explorer 架构
Internet Explorer 架构 参考地址:https://docs.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/platform-apis/aa741312(v=vs.85)?redirectedfrom=MSDN 基于 COM 的架构 浏……
恶意代码技术理论:MFC恶意代码分析
1 MFC框架结构 MFC库(微软基础类库(Microsoft Foundation Class))是开发Windows应用程序的C++接口,是微软公司提供的一个类库。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。 框架包含了更很多东西,如多种不同的库,资源等。库包……
恶意代码技术理论:Windows10 控制流保护
控制流保护(CFG) CFG Windows8.1预览中引入了新的安全缓解技术,因为兼容性问题,在windows 8.1 RTM 中被禁用。然后再windows 10 中被重新启用。是实现控制流完整性(CFI)的一种方式。 CFG 通过在间接跳转(Indirect Call)前插入校验代码(比如 call dword ptr ss:[ebp-8] 等等 ),……
恶意代码技术理论:Suricata规则
目前有两种主流威胁检测技术:基于签名的检测和基于异常的检测。 使用基于签名的IDS,可以搜索一直恶意流量的规则和模式。一旦找到与签名相匹配的项,就会告警。例如snort和suricata 使用基于异常的IDS,也即是基于行为的IDS,依赖于基线而不是签名,。它将搜索偏离先前活动或先前看到的活动的平均值。例如,如果用户总是从加利福尼亚登录网络,如果发现在一个……
恶意代码技术理论:IDAPython应用实例
解决Findr混淆 findr混淆第一版 def patch_jcc32(addr):#addr是一个字节 PatchByte(addr, 0x90) PatchByte(addr+1, 0xE9) PatchWord(addr+6, 0x9090) PatchDword(addr+8,0x90909090) def is_jump_near_pa……