摘要:
1、工具说明 写报告的时候为了细致性,要把IP地址对应的地区给整理出来。500多条IP地址找出对应地区复制粘贴到报告里整了一个上午。 为了下次更好的完成这项重复性很高的工作,所以写了这个小的脚本。 使用库 1)requests 简介:Requests是一常用的http请求库,它使用python语言编 阅读全文
摘要:
学编程又有材料了 http://blog.nsfocus.net/malware sample analysis api/ 阅读全文
摘要:
0x1 PE文件与免杀思路 基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。 修改区段名 1.1 移动PE文件头位置免杀 工具:PeClean SizeOfOptionalHeader字段来描述扩展头的大小,恒定值为0xE0。 某些程 阅读全文
摘要:
0 初衷 GitHub这一份黑客技能列表很不错,包含了多个方向的安全。但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过。 虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载。逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西。 《Awesome Hacking》 https://gi 阅读全文
摘要:
0x01 MS-DOS头 MS-DOS头部的字段重点关注e_magic与最后一个e_lfanew是需要关注的。 第一个e_magic字段的值为4D5A,作用是可以作为判断这个文件是否是PE文件。 最后一个e_lfanew字段可以引导我们找到新的EXE文件头,从而进一步判断这个可执行文件是否为PE文件 阅读全文
摘要:
0x1 签名文件制作的方法: 找到静态编译的程序库 使用IDA中的fair工具包,对静态库操作,生成特征库(IDA6.8 是flair68.zip) 0x2 步骤 第一步:使用pcf生成对应静态库的pat文件 第二步:使用sigmake,将pat文件转为sig文件 第三步:将sig文件放入IDA文件 阅读全文
摘要:
6.1 壳的基础知识 程序运行流程 未加壳程序流程 原程序 → 加载到内存中 → 顺利执行 加壳程序流程 加壳程序 → 加密的原程序读取到内存 → 解密并释放 → 原程序加载到内存中 → 顺利执行 壳的运行过程 加载API函数 解密区段 进行代码重定位 转到入口点 6.2 壳在免杀领域的作用 加壳免 阅读全文
摘要:
花指令 花指令就是一段本可以不存在的指令,存在的唯一目的就是掩盖程序中的一些东西。 5.1 什么是花指令? 程序正常运行时完全可以不需要的,人们可以加进去的一段代码,或是刻意修改程序流程的一段代码。 5.2 脚本木马的花指令应用 定义空变量 输出无用的if语句条件判断 无意义的输出 5.3 花指令的 阅读全文
摘要:
1 学习目标 WinRAR5.40(64位)的弹框广告去除,由于我的系统为x64版本,所以安装了WinRAR(x64)版本。 OD无法调试64位的程序,可以让我熟悉x64dbg进行调试的界面。 其次是这玩意儿真是太蛋疼了,无休止弹广告。 2 破解思路 1)偷梁换柱 修改汇编函数段首为返回值(本次逆向 阅读全文
摘要:
病毒逆向分析除了可以提高逆向能力之外,还提高与病毒的抗战能力。近期会涉及到对许多病毒样本进行分析,其中许多样本会有重复。所以网上找了相关的工具与excel行对比重复的技巧。 Vistanita Duplicate Finder :一款重复文件查找工具,可以帮助查找重复的病毒样本。避免对重复的样本进行 阅读全文