会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
SunsetR
隐约雷鸣 阴霾天空 但盼风雨来 能留你在此
博客园
首页
新随笔
联系
管理
订阅
上一页
1
2
3
4
下一页
2020年2月6日
【逆向】IAT HOOK
该文被密码保护。
阅读全文
posted @ 2020-02-06 14:32 SunsetR
阅读(29)
评论(0)
推荐(0)
编辑
2020年2月2日
【逆向】IDA sig签名文件制作
摘要: 前言 使用IDA分析程序时,目标程序通常都没有pdb符号文件,这时候如果IDA没有对应的sig签名文件,就会有很多库函数和自定义函数无法识别。如果类似的函数有很多,就没有办法很好的分析。本文将介绍如何创建和使用IDA sig签名文件。 步骤 1、获取要创建签名文件的静态库文件(.lib)2、利用FL
阅读全文
posted @ 2020-02-02 15:57 SunsetR
阅读(3143)
评论(1)
推荐(0)
编辑
2020年1月31日
【逆向】RC4编码解码及逆向识别
摘要: 前言 RC4和DES算法一样,都是对称加密算法,密钥可以同时加密和解密数据。不同的是DES将数据分组后加解密,而RC4则是以字节流的方式对数据每一个字节进行加解密。RC4是恶意代码常用算法,因为它体积小易于实现,并且没有明显加密常量,很难使用插件进行识别。 原理 通过密钥(Key 1-256字节),
阅读全文
posted @ 2020-01-31 22:31 SunsetR
阅读(2208)
评论(0)
推荐(1)
编辑
2020年1月11日
【反调试】常用反调试方法汇总
摘要: 前言 常用反调试(Anti-Debug)检测思路: 检测PEB结构特定标志位,例如:"BeingDebugged"。使用系统API,例如:"IsDebuggerPresent"等。检测指定调试器特征,例如:检测进程,窗口标题等。 索引 // PEB_检测 BeingDebugged NtGlobal
阅读全文
posted @ 2020-01-11 22:11 SunsetR
阅读(1606)
评论(0)
推荐(0)
编辑
2020年1月8日
【宏病毒】Word宏病毒简单分析
摘要: 前言 最近对Office系列宏病毒比较感兴趣,网上找了一个Word样本练练手,宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行,或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单,查看VBA代码基本就能知道病毒执行的内容,但是如果代码中的函数、变量、字符
阅读全文
posted @ 2020-01-08 21:11 SunsetR
阅读(1849)
评论(0)
推荐(0)
编辑
2019年12月13日
【逆向】WinDbg符号文件详解
摘要: 符号文件 编译器和链接器在创建二进制镜像文件(诸如exe、dll、sys)时,伴生的后缀名为(".dbg",".sym",".pdb")的包含镜像文件编译、链接过程中生成的符号信息的文件称为符号文件。具体来说,符号信息包括如下内容: 1 // 全局变量(类型、名称、地址) 2 // 局部变量(类型、
阅读全文
posted @ 2019-12-13 11:52 SunsetR
阅读(3520)
评论(0)
推荐(1)
编辑
2019年12月12日
【逆向】WinDbg常用命令与技巧
摘要: 前言 本文用于记录WinDbg的一些常用命令和使用技巧,WinDbg是一个强大的windows调试器,除了文中记录的内容外,其它内容会在用到时进行更新。另外你可以“F1”或使用“.hh”命令打开debugger.chm以获取完整的调试器文档。 主题界面 https://www.cnblogs.com
阅读全文
posted @ 2019-12-12 15:57 SunsetR
阅读(670)
评论(0)
推荐(0)
编辑
2019年12月11日
【逆向】WinDbg工作空间与主题界面布局
摘要: 工作空间 WinDbg使用工作空间(Workspace)来描述调试项目的属性、参数、设置、界面布局等信息,相当于集成开发环境中的项目文件。当在WinDbg中打开一个应用程序("File”->"Open Executable")并开始调试时,WinDbg会建立一个默认的工作空间。 如果你之前调试过该项
阅读全文
posted @ 2019-12-11 21:58 SunsetR
阅读(1261)
评论(0)
推荐(0)
编辑
2019年12月10日
【逆向】.NET程序逆向基础
摘要: 概述 .NET Framework是微软开发的一个平台无关性的软件开发平台,与java类似,无论机器运行的是什么操作系统,只要该系统安装了.net框架,就可以运行.net可执行程序。 实例代码 1 // 引用System空间的类和方法 2 using System; 3 using System.C
阅读全文
posted @ 2019-12-10 01:33 SunsetR
阅读(1354)
评论(0)
推荐(1)
编辑
2019年12月9日
【逆向】x64程序逆向基础
摘要: 主要区别 1. 所有地址指针都是64位。 2. 增加和扩展新的寄存器,并兼容原32位版本的通用寄存器。 3. 原指令指针寄存器EIP扩展为RIP。 寄存器 1. 64位寄存器兼容原32位寄存器。 2. 新增加8个XMM寄存器(XMM8-XMM15)。 3. 扩展原32位寄存器的64位版本,并增加8个
阅读全文
posted @ 2019-12-09 16:18 SunsetR
阅读(2112)
评论(0)
推荐(0)
编辑
2019年12月3日
【逆向】Windows服务逆向分析调试
摘要: 前言 本文主要对Windows服务进行简要介绍,并对服务程序分析方法进行记录。 名词解释 1 服务进程: //通过服务方式运行的可执行程序 2 服务控制程序: //所有用于启动服务(StartService())的程序,Windows中可以使用“services.msc”命令启动 3 服务控制管理器
阅读全文
posted @ 2019-12-03 17:01 SunsetR
阅读(514)
评论(0)
推荐(0)
编辑
2019年11月21日
【逆向】GandCrabV2.0 勒索软件分析
摘要: 1、前言 本次分析的是GandCrab勒索软件2.0版本,因为版本较早病毒服务器已经凉凉了,所以动态分析的时候并不会加密本地文件,调试的时候可以直接跳转到文件加密部分进行分析。另外除了勒索软件的一些常规操作外,为了逃避杀软检测病毒还进行了如下操作。 1 // 从资源解密执行shellCode。 2
阅读全文
posted @ 2019-11-21 21:28 SunsetR
阅读(962)
评论(0)
推荐(0)
编辑
2019年11月12日
【PE文件】重定位
摘要: 重定位表位置 IMAGE_NT_HEADERS.IMAGE_OPTIONAL_HEADER32.IMAGE_DATA_DIRECTORY_ARRAY[5].VirtualAddress 重定位表结构 重定位表以一个 IMAGE_BASE_RELOCATION(IBR)数组开始,最后以一个全0的IBR
阅读全文
posted @ 2019-11-12 14:50 SunsetR
阅读(420)
评论(0)
推荐(0)
编辑
2019年11月6日
【逆向】IDA脚本基础教程
该文被密码保护。
阅读全文
posted @ 2019-11-06 20:46 SunsetR
阅读(756)
评论(0)
推荐(0)
编辑
2019年10月11日
【逆向】Radamant 勒索软件详细分析
摘要: 1、前言 一个Radamant勒索样本,到手分析时C&C服务器已经失效,分析过程修改了本机DNS解析来完成具体行为分析。样本比较简单,没有反调试虚拟机等手段,适合新手练习,熟悉勒索病毒常用操作后可以加快分析进度。 2、样本信息 样本名称:Radamant 样本类型:Win32 EXE样本大小:154
阅读全文
posted @ 2019-10-11 17:18 SunsetR
阅读(956)
评论(3)
推荐(0)
编辑
上一页
1
2
3
4
下一页
公告