恶意代码技术理论:恶意脚本-shellcode恶意代码分析
一 加载shellcode的C代码 #include <windows.h> #include <stdio.h> LPVOID read_shellcodefile_into_memory(char* shellcode) { FILE* hFile = NULL; errno_t err; //判断此文件流是否存在 ……
恶意代码技术理论:恶意脚本-HTA恶意代码分析
一 背景 2020年3月初捕获到hta样本,该样本伪装成写字板图标,实际上是快捷方式,快捷方式命令是 “C:\Windows\System32\ftp.exe -s:新型冠状病毒感染肺炎疾病特点和诊疗.docx.lnk”,通过ftp程序启动自身。通过样本溯源确认该样本属于“海莲花”组织。 1.1 技术背景 http://ftp.exe -s:filenam……
逆向知识点:程序入口点与Main/WinMain函数
设有一个Win32下的可执行文件MyApp.exe,这是一个Win32应用程序,符合标准的PE格式。 MyApp.exe的主要执行代码都集中在其源文件MyApp.cpp中,该文件第一个被执行的函数是WinMain。 初学者会认为程序就是首先从这个WinMain函数开始执行,其实不然。 在WinMain函数被执行之前,有一系列复杂的加载动作,还要……
恶意代码样本分析:0a2f00cc6941d552cbba1ae59afdeeb6
一 样本信息 样本名称:a5823a6f3463e91279af612331a08d87ff4321e2.exe 样本大小:128KB MD5: 0a2f00cc6941d552cbba1ae59afdeeb6 SHA-256:578dbbefa37f57cfb53f77505cca28f2888bd3d51b03d2913e46a208f2cf15fc S……
吾爱破解:CreakeMe-02
0x 01 环境准备 吾爱破解虚拟机、OD、PEID、汇编金手指 0x 02 程序运行 程序运行方式 首先打开程序,查看程序各个功能如下,如下: 该窗口输入name和key,进行校验,错误会弹出窗口提示 0x 03程序分析 找到算法入口点: 打开程序,中文搜索引擎,智能搜索出相关字符串 栈回溯方法 OD加载程序,直接运行 F12停止程序,查看K(调用堆……
恶意代码技术理论:恶意代码分析合集
转载自七夜安全博客,欢迎访问七夜安全博客原文,尊重创作者劳动成果,此转载侵权必删 项目地址: https://github.com/rshipp/awesome-malware-analysis/ 这个列表记录着那些令人称赞的恶意软件分析工具和资源 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描……
恶意代码技术理论:恶意代码分类
Trojan 木马病毒 通过网络或者系统漏洞进入您的系统并隐藏,破坏系统或正常软件的安全性,向外泄露用户的隐私信息。 TrojanDownloader 下载者木马 通过下载其他病毒来间接对系统产生安全威胁,此类木马通常体积较小,并辅以诱惑性的名称和图标诱骗用户使用。 TrojanSpy 盗号木马 此类木马会隐匿在系统中,并伺机盗取各类账号密码,对您造成财产损……
恶意代码样本分析:勒索病毒
0x 01 环境准备 吾爱破解虚拟机、OD、PEID、汇编金手指 注:Win7 系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用 Win7 进行分析。 0x 02 程序运行 程序运行方式 首先在虚拟机上做好快照,接着打开程序,运行界面如下,发现点击任何都不能运行,但是win窗口可以弹出来,这样可以简单判断这并不是一个完全的锁……
吾爱破解:CreakeMe-01
0x 01 环境准备 吾爱破解虚拟机、OD、PEID、汇编金手指 注:Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。 0x 02 程序运行 1. 程序运行方式 首先打开程序,查看程序各个功能,如下: ……
OD攻略:调用堆栈、交叉引用
查看调用堆栈:ALT + K OD分析时,经常用到栈回溯方法。假设我们在一个函数的入口点 使用ALT + K查看此函数的父级调用。 堆栈调用窗口显示的每一行,代表从上一层函数,进入当前函数的入口,这个功能缺点就是只能在程序运行到某个函数中,并且断下来后,才能使用。 CTRL + K 假设我们有这样的需求,我不想运……