摘要:
关注点: 1、Hook的位置 2、运行不起来可能是因为以计算机名作为密钥,【ahih_@i_back计算机名】 调试方法: 1、LoadLibrary 恶意代码的DLL 2、从Data字段查找到shellcode 3、引用ShellCode的位置 4、断点查看这个引用ShellCode的位置 阅读全文
摘要:
场景 应急响应中从进程发现被注入了EXE文件,通过processhacker的Memory模块dump出来注入的文件。PE修复后在IDA里反汇编查看这个恶意代码的功能是什么。 解决 LordPE 虚拟内存对齐修复 【Section Table】 每个区段的 VirtualAddress与RawOff 阅读全文