恶意代码架构分析:ARM架构分析
ARM基础 1. arm 汇编基础 1. LDMIA R0 , {R1,R2,R3,R4} LDM 为: 多寄存器 “内存取” 指令 IA 表示每次 LDM 指令结束之后 R0 增加 1 个字 最终结果为 R1 = [R0], R1 = [R0+#4], R1 = [R0+#8], R1 = [R0+#0xC] 2. 堆栈寻址 (FA、EA、FD、ED) S……
恶意代码技术理论:动静态分析前进行检测
代码相似度 intezer intezer网站提供代码基因检测,检测出相似性:https://analyze.intezer.com/ 该网站提供IDA插件,检测代码相似度 Bindiff 二进制对比,用来检测两份样本相似度,提供IDA插件 判断样本功能 capa Fireeye开发capa用来检测样本功能:https://github.com……
恶意代码技术理论:VB语言恶意代码分析
Visual Basic Visual Basic(简称VB)是Microsoft公司开发的一种通用的基于对象的程序设计语言,为结构化的、模块化的、面向对象的、包含协助开发环境的事件驱动为机制的可视化程序设计语言。是一种可用于微软自家产品开发的语言。 “Visual” 指的是开发图形用户界面 (GUI) 的方法——不需编写大量代码去描述界面元素的外观和位……
恶意代码技术理论:python语言恶意代码分析
pyinstaller打包成exe –onefile 将结果打包成一个可执行文件 –onedir 将所有结果打包到一个文件夹中,该文件夹包括一个可执行文件和可执行文件执行时需要的依赖文件(默认) –paths=DIR 设置导入路径 –distpath=DIR 设置将打包的结果文件放置的路径 –sp……
恶意代码技术理论:PE恶意代码分析
1. EXE 恶意代码分析 2. DLL 恶意代码分析 3. OCX 恶意代码分析 4. SYS 恶意代码分析 5. COM 恶意代码分析 6. windows加载可执行文件流程 程序加载后,CreateProcess系列函数创建进程,在windows上,进程用EPROCESS结构表示,线程用ETHREAD结构表示 进程相关的工作准备就绪后,还需要单独创建一……
x64dbg攻略:插件说明
Scylla(脱壳与导入表修复) 可以脱壳和修复导入表 xAnalyzer(代码分析) https://github.com/ThunderCls/xAnalyzer 该插件对调试程序的API函数调用进行检测,自动添加函数定义,参数和数据类型以及其他补充信息,安装以后可以让x64dbg与OllyDbg的使用体验更接近。 SwissArmyKnife(导入Ma……