为了能到远方,脚下的每一步都不能|
收藏闪存小组博问

ONE_ZJ

园龄:2年粉丝:3关注:10

07 2023 档案

通过组件调用模型实现功能的恶意代码
摘要:一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停
17
0
0
使用技巧(持续更新)
摘要:## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”,点击运行,然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图: ![](https://img2023.cnblogs.com/blog/309
91
0
0
通过替换dll实现后门功能的恶意代码
摘要:通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代
107
0
0
文件有关
摘要:1. CreateFileA, CreateMappingA 和 MapViewOfFile 是Windows操作系统中的API函数,用于文件的创建、映射和视图的获取。 CreateFileA:这个函数用于在指定路径下创建一个或多个文件。如果文件已经存在,那么它的访问权限将被改变。 CreateMa
13
0
0
IDA使用技巧
摘要:1. shift+F12 展示所有的字符串; 2. ctrl+x查找某一字符串出现的所有位置; 3. F5反编译,查看伪代码; 4. *可以查看数组元素的起始位置和每个元素所占空间是多少; 5. y可修改数据类型; 6. n可修改变量名; 7. shift+E可导出数据(先用y修改数据类型,再根据数
812
0
0
lea指令调用
摘要:##lea指令(Load Effective Address)在x86汇编语言中的作用是将一个有效地址(即一个内存地址或寄存器地址的偏移量)加载到目标寄存器中,而不是加载一个实际的内存值。 lea指令的使用场景通常有以下几种: 1. 计算数组元素的地址: 假设有一个数组arr,每个元素大小为4个字节
655
0
0
PE文件结构1
摘要:# 引言 PE文件格式是Windows操作系统下的可执行文件的格式,包括.exe文件和.dll文件,通过PE文件格式的学习,可以帮助我们更加熟悉有关Windows系统下的逆向分析和PC端病毒的学习,同时PE文件格式也是HOOK,加壳等知识的基础,在这里分享一下自己的有关PE文件格式学习的收获和如何编
66
0
0
深色
回顶
收起
点击右上角即可分享
微信分享提示