17bdw随手笔记

摘要： 1、提醒 百度分析恶意PDF文件，很多都是推荐PDFdump。在某次沙箱产品分析出疑似高级威胁的PDF样本后，我使用PDFdump查看ShellCode的加密数据，分析后并没有找到相关的ShellCode。 跟研发人员探讨后，发现PDFdump并没有将pdf文件中的数据完全进行解析。一些乱码状的数据 阅读全文

摘要： 1、IDA Pyhon介绍 IDA Python是IDA6.8后自带插件，可以使用Python做很多的辅助操作，非常方便的感觉。 2、IDA Python安装 从github上IDAPython项目获取跟自己电脑IDA、Python对应的版本。 项目地址：https://github.com/ida 阅读全文

摘要： A Basic Windows DKOM Rootkit Pt 1 https://www.landhb.me/posts/v9eRa/a basic windows dkom rootkit pt 1/ Project：https://github.com/landhb/HideProcess 阅读全文

摘要： 1.样本概况 | 病毒名称 | Virus.Win32.Virut.ce | | |: :| | MD5 | 6A500B42FC27CC5546079138370C492F | | 文件大小 | 131 KB (134,144 字节) | | 壳信息 | 无壳 | | 文件名 | 9 29_vir 阅读全文

摘要： 0x1 加法与减法的优化原理 1.1 加法的识别与优化 加法优化有3种方案： 1）形式1：变量与变量 2）形式2：变量加常量 3）形式3：变量加1 C源代码： int _tmain(int argc, _TCHAR* argv[]) { int nNum, nA = 8; nNum = argc + 阅读全文

摘要： 1、前言 工作中偶尔会遇到去现场提取木马样本回公司分析的情况。如果是生产环境下，不方便安装各类抓包、安全软件时。能用系统自带的命令去定位出木马程序相关的信息是最理想不过的状态。 2、Windows常用命令 2.1 查询端口 netstat an // a 显示所有连接和侦听端口 n 以数字形式显示地 阅读全文

摘要： 1、前言 Python发展以来，除了web安全方向，二进制方向也早已经积累有很多用Python写的项目。作为搜集者当然不能错过！ 2、项目分类 安全编程 多功能Python键盘记录工具：Radium 项目地址：https://github.com/mehulj94/Radium-Keylogger 阅读全文

摘要： 0x1 switch-case分支 switch-case其实就是if-else语句的另一种体现形式。但大于3之后的switchc-case。编译器会对代码进行优化。 1.1 简单switch-case分支识别技巧 C源代码： int _tmain(int argc, _TCHAR* argv[]) 阅读全文

摘要： 1、前言 近期在分析病毒式，频繁搜索相关的资料与病毒分析规范 、流程、步骤，从中也收获了一下看起来很酷炫的分析工具。 2、集成环境类 FLARE VM：能够分析Windows恶意软件的虚拟机 这一个集成工具是国外知名的反病毒厂商FireEye所开源出来的一个项目集成环境，遗憾的是我通过文章中提到的B 阅读全文

摘要： 0x1 循环语句 C语言的循环主要分为for、while与do-while 3种。 1.1 do-while循环 C源代码： 0x41是字母A的ASCII码，变量nNum的初始值是26，因此0x41+(26-nNum)配合着每次的nNum--，是一个从字母A到Z的打印过程。 #include "st 阅读全文