随笔分类 - 恶意代码 / 恶意代码分析
通过命令行参数启动的后门病毒
摘要:在恶意代码分析过程中,关注的重点是恶意代码的整体行为机制和运行逻辑,但是现在由于我们对底层实现逻辑还不太清楚所以花费了大量的时间在具体实现上,要在积累的前提下大胆猜测小心求证。今天我们换一种分析方式,先通过基础静态分析大致猜测恶意代码行为然后再具体分析具体的实现机制。 一. 注册表行为 在恶意代码当
通过组件调用模型实现功能的恶意代码
摘要:一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停
通过替换dll实现后门功能的恶意代码
摘要:通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代
