2022年1月16日
【病毒分析】41f205e9db461e3f70fd588cc01bb35bfe11cff
摘要: 41f205e9db461e3f70fd588cc01bb35bfe11cff 样本初析: |Kaspersky | Trojan-Downloader.Win32.Carder.q| |ESET-NOD32 | Win32/Glupteba.AF| 14:41:02:934,2E6682932F8 阅读全文
posted @ 2022-01-16 18:33 Nicky_啦啦啦是阿落啊 阅读(308) 评论(0) 推荐(0) 编辑
【病毒分析】44b95162f85b81e71e5f2e7abbc904a6339ce0aa
摘要: ##文件信息 ##脱壳 ##VT ###可能会有以下行为: Win32/ServStart.D 加载驱动程序; 从自己的二进制映像中读取数据。 一个过程创建了一个隐藏的窗口; 删除二进制文件并执行它。 可执行文件使用UPX压缩; 使用Windows实用程序实现基本功能; 安装自身以在 Windows 阅读全文
posted @ 2022-01-16 17:15 Nicky_啦啦啦是阿落啊 阅读(177) 评论(0) 推荐(0) 编辑
【病毒分析】21766239b79ece18b15a03f4517f3be6ed9c07ed
摘要: 21766239b79ece18b15a03f4517f3be6ed9c07ed ##样本行为: 1、修改MBR 2、自关机 3、关机自启后锁机 ##样本分析: ###载入IDA 主函数 如下: void start { sub_402058(); a2(&VirtualProtect, 172); 阅读全文
posted @ 2022-01-16 17:05 Nicky_啦啦啦是阿落啊 阅读(513) 评论(0) 推荐(0) 编辑
【病毒分析】f636ebe109c71aba251df70bede3a88e513752b8
摘要: ##病毒名称 EAST:Win32/Kryptik.HMIB trojan Kaspersky:Win32.ShellCode.Agent.pef ##简单描述 1.不间断请求连接可疑网址 2.获取计算机信息、进程信息;具备反调试的能力 3.释放隐藏文件 4.存在数据库调用路径 ##联网行为 17: 阅读全文
posted @ 2022-01-16 16:57 Nicky_啦啦啦是阿落啊 阅读(291) 评论(0) 推荐(0) 编辑
2021年10月18日
彩虹猫的分析和梳理
摘要: 彩虹猫分析 现象 自动弹出多个浏览器搜索窗口 鼠标异常晃动 窗口颜色怪异 反复出现系统提示音 出现6个MEMZ进程 发现调用CryptGenRandom函数 查输入表 控制光标 播放声音 打开外部程序 DrawIcon --绘制图标 窗口颜色异常--BitBlt、StretchBlt 调用GetCo 阅读全文
posted @ 2021-10-18 22:33 Nicky_啦啦啦是阿落啊 阅读(474) 评论(0) 推荐(0) 编辑
2020年10月2日
《逆向工程核心原理》笔记(1-16)
摘要: 第一章/第二章 分析Hello World!程序 OD基本命令 Restart Ctrl+F2 重新开始调试 Step Into F7 执行语句会进入函数内部 Step Over F8 执行语句不会进入函数内部 Execute till Return Ctrl+F9 一直在函数代码内部运行,直到遇到 阅读全文
posted @ 2020-10-02 16:10 Nicky_啦啦啦是阿落啊 阅读(602) 评论(0) 推荐(0) 编辑
2020年9月11日
漏洞复现的整理
摘要: CVE-2017-8464 漏洞类型 Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器(或远程共享)时,恶 阅读全文
posted @ 2020-09-11 18:27 Nicky_啦啦啦是阿落啊 阅读(159) 评论(0) 推荐(0) 编辑
2020年8月18日
BUUCTF-RE-[GUET-CTF2019]re
摘要: #查壳 用的是脱壳工具 UPX Shell 它通过命令行调用upx主程序,支持EXE、COM、DLL、SYS、OCX等多种文件格式的压缩 下载地址:http://ct.ghpym.com/dir/7369060-37024569-ee3032 #找关键函数 搜索字符串,查交叉引用处,就能找到 有一个 阅读全文
posted @ 2020-08-18 17:05 Nicky_啦啦啦是阿落啊 阅读(445) 评论(0) 推荐(0) 编辑
2020年8月4日
BUUCTF-RE-[ACTF新生赛2020]easyre
摘要: #查壳 UPX壳 工具脱壳 脱完壳扔IDA里分析 这一题很明显 #分析 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-2Eh] char v5; // [es 阅读全文
posted @ 2020-08-04 22:25 Nicky_啦啦啦是阿落啊 阅读(500) 评论(0) 推荐(0) 编辑
2020年8月1日
BUUCTF-RE-[V&N2020 公开赛]strangeCpp
摘要: #查壳 #运行程序 它提示说cpu num是8 这个信息是有用的 #搜索字符串 也就这一块了。 flag{where_is_my_true_flag?}肯定是假的了。 这一块就是提示cpu数值的。我们交叉引用看看。 然后我们就能找到解题的关键函数了。 __int64 sub_140013580() 阅读全文
posted @ 2020-08-01 00:06 Nicky_啦啦啦是阿落啊 阅读(275) 评论(0) 推荐(0) 编辑