摘要: 0x1 PDF是什么 PDF(便携式文件格式,Portable Document Format)是由Adobe Systems在1993年用於文件交换所发展出的文件格式。 因为PDF的文件格式性质广泛用于商业办公,引起众多攻击者对其开展技术研究,在一些APT(Advanced Persistent 阅读全文
posted @ 2017-07-21 00:38 17bdw 阅读(3031) 评论(0) 推荐(0) 编辑
摘要: 1、背景 截获病毒样本时遇到各类脚本病毒样本。 2、调试.wsf脚本 .wsf格式文件是windows脚本文件(Windows Script File)的简称,一个wsf文件中不仅可以同时包含js和vbs脚本,而且可以包含Perl、Object REXX、python、 Kixtart等脚本。这类脚 阅读全文
posted @ 2017-07-17 13:37 17bdw 阅读(952) 评论(0) 推荐(0) 编辑
摘要: 第3章 免杀与特征码 这一章主要讲了一些操作过程。介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具。 VirTest5.0特征码定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyC 阅读全文
posted @ 2017-07-14 00:52 17bdw 阅读(1559) 评论(0) 推荐(0) 编辑
摘要: 分析petya病毒时新学会的技巧。 IDA技巧1 : string 提取文件中的字符串内容,如果看到一些文件字符串可以定位到关键的函数中。 view -> open subview -> string IDA技巧2 :图形化与视图的切换-空格 选择 Options -> General-> use 阅读全文
posted @ 2017-06-30 09:54 17bdw 阅读(5273) 评论(0) 推荐(0) 编辑
摘要: 一、事件起因 客户向公司反映使用IDS设备捕获到木马上线域名需要处理,虽然是逆向岗但还是有预感未来应急响应的工作只会越来越多。所以作为新人的我选择了跟带头BOSS去现场学习,并且将自己参与应急响应中的工作和思路进行记录。 二、前置知识 1)动态域名解析 用户每一次上网时运营商都会随机分配一个IP地址 阅读全文
posted @ 2017-06-18 22:49 17bdw 阅读(1606) 评论(0) 推荐(0) 编辑
摘要: 在52pojie发表《xxxx》病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征码方式的不足,还分享了他工作中4种提取特征码的方法。让我更加觉得要加紧时间学习,这样才不会被大牛甩得太远。弄清楚基本概念,以后吹水不致被嫌弃得太惨。嘿嘿! 基础篇 初级免杀技术 阅读全文
posted @ 2017-06-14 18:24 17bdw 阅读(2012) 评论(0) 推荐(0) 编辑
摘要: 0 前言 此篇文章想写如何通过工具手查导出表、PE文件代码编程过程中的原理。文笔不是很好,内容也是查阅了很多的资料后整合出来的。希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献。因为了解PE文件格式知识点对于逆向破解还是病毒分析都是很重要的,且基于对PE文件格式的深入理解还可以延伸出更 阅读全文
posted @ 2017-05-28 11:33 17bdw 阅读(1235) 评论(0) 推荐(0) 编辑
摘要: 样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过。 1.样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a2892c4b38d87f 病毒行为: 自删除,感染压缩包(zip、rar)、释放lpk.dll文件 1 阅读全文
posted @ 2017-05-19 19:11 17bdw 阅读(1242) 评论(0) 推荐(0) 编辑
摘要: 1 学习目标 使用API添加用户可以绕过某些杀毒软件的限制。 2 编程思路 2.1 代码原理 使用NetUserAdd这个API添加普通权限的用户,NetLocalGroupAddMembers这个API添加管理员权限。 2.2 编写思路 1、定义USER_INFO_1 结构体 2、调用NetUse 阅读全文
posted @ 2017-04-30 19:47 17bdw 阅读(2716) 评论(0) 推荐(0) 编辑
摘要: 1 学习目标 今天静态逆向mydocument病毒时,看到病毒代码为了防止自身被调试会先检测杀毒软件和调试工具的进程是否存在。如果没有杀毒软件则释放真正的病毒文件,提前熟悉一下枚举进程的反汇编代码。 2 编程思路 2.1 代码原理 这是一段检测指定进程是否存在的代码,使用CreateToolhelp 阅读全文
posted @ 2017-04-18 01:07 17bdw 阅读(2982) 评论(0) 推荐(0) 编辑