摘要:
一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停 阅读全文
摘要:
## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”,点击运行,然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图: ![](https://img2023.cnblogs.com/blog/309 阅读全文
摘要:
通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代 阅读全文
摘要:
1. CreateFileA, CreateMappingA 和 MapViewOfFile 是Windows操作系统中的API函数,用于文件的创建、映射和视图的获取。 CreateFileA:这个函数用于在指定路径下创建一个或多个文件。如果文件已经存在,那么它的访问权限将被改变。 CreateMa 阅读全文
摘要:
1. shift+F12 展示所有的字符串; 2. ctrl+x查找某一字符串出现的所有位置; 3. F5反编译,查看伪代码; 4. *可以查看数组元素的起始位置和每个元素所占空间是多少; 5. y可修改数据类型; 6. n可修改变量名; 7. shift+E可导出数据(先用y修改数据类型,再根据数 阅读全文