摘要:
x86反汇编速成 x86体系结构 3种硬件构成: 中央处理器:负责执行代码 内存(RAM):负责存储所有的数据和代码 输入/输出系统(I/O):为硬盘、键盘、显示器等设备提供接口 内存 一个程序的内存可以分为以下四个主要的节: 栈:栈用于函数的局部变量和参数,以及控制程序执行流。 堆:堆是为程序执行 阅读全文
摘要:
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以 阅读全文
摘要:
场景 1、提取恶意代码中的资源部分内容 思路 存在Loadresource函数的时候说明有一部分内容在资源里。 技术点 Lab1 4 ResourceHacker打开保存资源,载入IDA查看 阅读全文
摘要:
场景 确认开源的后门在中毒机器上是什么版本,具有什么功能。 思路 1、查看样本PE里的编译时间 2、对照开源后门里组件的编译时间 技术点 查看NT头 TimeDateStamp 参考 https://www.cnblogs.com/zheh/p/4008268.html https://blog.c 阅读全文
摘要:
恶意代码分析-工具收集 恶意代码分析实战 Strings:字符串查找工具 https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings Resource Hacker工具:查看资源节内容 http://www.angusj.com 恶 阅读全文
摘要:
https://github.com/ngalongc/bug bounty reference/blob/master/README.md remote code execution Bug Bounty Reference 根据Bug归类的Bug赏金记录列表,灵感来自https://github 阅读全文
摘要:
在Windows环境中利用Responder工具窃取NTLMv2哈希 翻译自:https://github.com/incredibleindishell/Windows AD environment related/tree/master/Responder 翻译:lipss 校对:看雪翻译小组 阅读全文