恶意代码技术理论:动静态分析前进行检测
代码相似度 intezer intezer网站提供代码基因检测,检测出相似性:https://analyze.intezer.com/ 该网站提供IDA插件,检测代码相似度 Bindiff 二进制对比,用来检测两份样本相似度,提供IDA插件 判断样本功能 capa Fireeye开发capa用来检测样本功能:https://github.com……
恶意代码技术理论:VB语言恶意代码分析
Visual Basic Visual Basic(简称VB)是Microsoft公司开发的一种通用的基于对象的程序设计语言,为结构化的、模块化的、面向对象的、包含协助开发环境的事件驱动为机制的可视化程序设计语言。是一种可用于微软自家产品开发的语言。 “Visual” 指的是开发图形用户界面 (GUI) 的方法——不需编写大量代码去描述界面元素的外观和位……
恶意代码技术理论:python语言恶意代码分析
pyinstaller打包成exe –onefile 将结果打包成一个可执行文件 –onedir 将所有结果打包到一个文件夹中,该文件夹包括一个可执行文件和可执行文件执行时需要的依赖文件(默认) –paths=DIR 设置导入路径 –distpath=DIR 设置将打包的结果文件放置的路径 –sp……
恶意代码技术理论:PE恶意代码分析
1. EXE 恶意代码分析 2. DLL 恶意代码分析 3. OCX 恶意代码分析 4. SYS 恶意代码分析 5. COM 恶意代码分析 6. windows加载可执行文件流程 程序加载后,CreateProcess系列函数创建进程,在windows上,进程用EPROCESS结构表示,线程用ETHREAD结构表示 进程相关的工作准备就绪后,还需要单独创建一……
x64dbg攻略:插件说明
Scylla(脱壳与导入表修复) 可以脱壳和修复导入表 xAnalyzer(代码分析) https://github.com/ThunderCls/xAnalyzer 该插件对调试程序的API函数调用进行检测,自动添加函数定义,参数和数据类型以及其他补充信息,安装以后可以让x64dbg与OllyDbg的使用体验更接近。 SwissArmyKnife(导入Ma……
恶意代码架构分析: X86 | Intel386 | 80386 | 386 架构
X86架构 X86架构(The X86 architecture)是微处理器执行的计算机语言指令集,指一个intel通用计算机系列的标准编号缩写,也标识一套通用的计算机指令集合。 80386架构 80386是Intel的第一代32位x86架构处理器,内部32位的数据通路,外部32位的数据总线与地址总线,标志着32位程序设计时代的到来。硬件层面上……