2020年2月6日
【逆向】IAT HOOK
该文被密码保护。 阅读全文
posted @ 2020-02-06 14:32 SunsetR 阅读(29) 评论(0) 推荐(0) 编辑
2020年2月2日
【逆向】IDA sig签名文件制作
摘要: 前言 使用IDA分析程序时,目标程序通常都没有pdb符号文件,这时候如果IDA没有对应的sig签名文件,就会有很多库函数和自定义函数无法识别。如果类似的函数有很多,就没有办法很好的分析。本文将介绍如何创建和使用IDA sig签名文件。 步骤 1、获取要创建签名文件的静态库文件(.lib)2、利用FL 阅读全文
posted @ 2020-02-02 15:57 SunsetR 阅读(3143) 评论(1) 推荐(0) 编辑
2020年1月31日
【逆向】RC4编码解码及逆向识别
摘要: 前言 RC4和DES算法一样,都是对称加密算法,密钥可以同时加密和解密数据。不同的是DES将数据分组后加解密,而RC4则是以字节流的方式对数据每一个字节进行加解密。RC4是恶意代码常用算法,因为它体积小易于实现,并且没有明显加密常量,很难使用插件进行识别。 原理 通过密钥(Key 1-256字节), 阅读全文
posted @ 2020-01-31 22:31 SunsetR 阅读(2208) 评论(0) 推荐(1) 编辑
2020年1月11日
【反调试】常用反调试方法汇总
摘要: 前言 常用反调试(Anti-Debug)检测思路: 检测PEB结构特定标志位,例如:"BeingDebugged"。使用系统API,例如:"IsDebuggerPresent"等。检测指定调试器特征,例如:检测进程,窗口标题等。 索引 // PEB_检测 BeingDebugged NtGlobal 阅读全文
posted @ 2020-01-11 22:11 SunsetR 阅读(1606) 评论(0) 推荐(0) 编辑
2020年1月8日
【宏病毒】Word宏病毒简单分析
摘要: 前言 最近对Office系列宏病毒比较感兴趣,网上找了一个Word样本练练手,宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行,或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单,查看VBA代码基本就能知道病毒执行的内容,但是如果代码中的函数、变量、字符 阅读全文
posted @ 2020-01-08 21:11 SunsetR 阅读(1849) 评论(0) 推荐(0) 编辑
2019年12月13日
【逆向】WinDbg符号文件详解
摘要: 符号文件 编译器和链接器在创建二进制镜像文件(诸如exe、dll、sys)时,伴生的后缀名为(".dbg",".sym",".pdb")的包含镜像文件编译、链接过程中生成的符号信息的文件称为符号文件。具体来说,符号信息包括如下内容: 1 // 全局变量(类型、名称、地址) 2 // 局部变量(类型、 阅读全文
posted @ 2019-12-13 11:52 SunsetR 阅读(3520) 评论(0) 推荐(1) 编辑
2019年12月12日
【逆向】WinDbg常用命令与技巧
摘要: 前言 本文用于记录WinDbg的一些常用命令和使用技巧,WinDbg是一个强大的windows调试器,除了文中记录的内容外,其它内容会在用到时进行更新。另外你可以“F1”或使用“.hh”命令打开debugger.chm以获取完整的调试器文档。 主题界面 https://www.cnblogs.com 阅读全文
posted @ 2019-12-12 15:57 SunsetR 阅读(670) 评论(0) 推荐(0) 编辑
2019年12月11日
【逆向】WinDbg工作空间与主题界面布局
摘要: 工作空间 WinDbg使用工作空间(Workspace)来描述调试项目的属性、参数、设置、界面布局等信息,相当于集成开发环境中的项目文件。当在WinDbg中打开一个应用程序("File”->"Open Executable")并开始调试时,WinDbg会建立一个默认的工作空间。 如果你之前调试过该项 阅读全文
posted @ 2019-12-11 21:58 SunsetR 阅读(1261) 评论(0) 推荐(0) 编辑
2019年12月10日
【逆向】.NET程序逆向基础
摘要: 概述 .NET Framework是微软开发的一个平台无关性的软件开发平台,与java类似,无论机器运行的是什么操作系统,只要该系统安装了.net框架,就可以运行.net可执行程序。 实例代码 1 // 引用System空间的类和方法 2 using System; 3 using System.C 阅读全文
posted @ 2019-12-10 01:33 SunsetR 阅读(1354) 评论(0) 推荐(1) 编辑
2019年12月9日
【逆向】x64程序逆向基础
摘要: 主要区别 1. 所有地址指针都是64位。 2. 增加和扩展新的寄存器,并兼容原32位版本的通用寄存器。 3. 原指令指针寄存器EIP扩展为RIP。 寄存器 1. 64位寄存器兼容原32位寄存器。 2. 新增加8个XMM寄存器(XMM8-XMM15)。 3. 扩展原32位寄存器的64位版本,并增加8个 阅读全文
posted @ 2019-12-09 16:18 SunsetR 阅读(2112) 评论(0) 推荐(0) 编辑
2019年12月3日
【逆向】Windows服务逆向分析调试
摘要: 前言 本文主要对Windows服务进行简要介绍,并对服务程序分析方法进行记录。 名词解释 1 服务进程: //通过服务方式运行的可执行程序 2 服务控制程序: //所有用于启动服务(StartService())的程序,Windows中可以使用“services.msc”命令启动 3 服务控制管理器 阅读全文
posted @ 2019-12-03 17:01 SunsetR 阅读(514) 评论(0) 推荐(0) 编辑
2019年11月21日
【逆向】GandCrabV2.0 勒索软件分析
摘要: 1、前言 本次分析的是GandCrab勒索软件2.0版本,因为版本较早病毒服务器已经凉凉了,所以动态分析的时候并不会加密本地文件,调试的时候可以直接跳转到文件加密部分进行分析。另外除了勒索软件的一些常规操作外,为了逃避杀软检测病毒还进行了如下操作。 1 // 从资源解密执行shellCode。 2 阅读全文
posted @ 2019-11-21 21:28 SunsetR 阅读(962) 评论(0) 推荐(0) 编辑
2019年11月12日
【PE文件】重定位
摘要: 重定位表位置 IMAGE_NT_HEADERS.IMAGE_OPTIONAL_HEADER32.IMAGE_DATA_DIRECTORY_ARRAY[5].VirtualAddress 重定位表结构 重定位表以一个 IMAGE_BASE_RELOCATION(IBR)数组开始,最后以一个全0的IBR 阅读全文
posted @ 2019-11-12 14:50 SunsetR 阅读(420) 评论(0) 推荐(0) 编辑
2019年11月6日
【逆向】IDA脚本基础教程
该文被密码保护。 阅读全文
posted @ 2019-11-06 20:46 SunsetR 阅读(756) 评论(0) 推荐(0) 编辑
2019年10月11日
【逆向】Radamant 勒索软件详细分析
摘要: 1、前言 一个Radamant勒索样本,到手分析时C&C服务器已经失效,分析过程修改了本机DNS解析来完成具体行为分析。样本比较简单,没有反调试虚拟机等手段,适合新手练习,熟悉勒索病毒常用操作后可以加快分析进度。 2、样本信息 样本名称:Radamant 样本类型:Win32 EXE样本大小:154 阅读全文
posted @ 2019-10-11 17:18 SunsetR 阅读(956) 评论(3) 推荐(0) 编辑