摘要:
x64 InlineHook 黑魔法 网上x64 InlineHook资料挺少的,我翻阅文章找到个不错的x64 InlineHook方法,在此整理成笔记如有错误欢迎指正。 为什么不能用X86 的HOOK方式? 像32位JMP跳转只需要5字节即可,但是在64位进程中情况确截然不同。 32位进程寻址能力 阅读全文
摘要:
转移指令原理和Inline Hook 转移指令 可以修改IP,或同时可以修改CS和IP的指令统称为:转移指令 8086CPU的转移行为有以下几类: 只修改IP时,称为段内转移,比如:jmp ax。 同时修改CS和IP时,称为段间转移,比如:jmp 1000:0。 由于转移指令对IP的修改范围不同,段 阅读全文
摘要:
Win10下C语言转8086汇编 简介 最近学习《王爽汇编》,然后突发奇想,想一边写C语言用编译器将其翻译成汇编代码,然后对照着学习高级代码转换低级代码的过程,经过一番搜索后发现个不错的方案:DOSBOX + Turbo C。 开始 直接下网上大佬集成好的带TC版的DOSBOX,我从CSDN上下的挺 阅读全文
摘要:
恶意代码分析实战六:熊猫烧香病毒分析 这一节主要通过熊猫烧香病毒来进行融会贯通,将前面学到过的所有知识都进行实践。 所有的例子和工具都可以在https://github.com/Vxer-Lee/MalwareAnalysis里面下载到。 熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网 阅读全文
摘要:
恶意代码分析实战五:OllyDebug动态结合 这一节课,主要是利用OD对目标程序进行动态分析,从而学习OllyDebug的使用。 Lab-09-02.exe 使用工具: 1.小生我怕怕版OD 2.Strings 3.IDA Pro 1、在二进制文件中,你看到的静态字符串是什么? 2、当你运行这个二 阅读全文
摘要:
恶意代码分析实战四:IDA Pro神器的使用 这节课主要通过使用IDA Pro来进行静态高级分析 实验: Lab05-01.dll 使用工具: 1. IDA Pro 1、DllMain的地址是什么? 2、使用Imports窗口并浏览到的gethostbyname,导入函数定位到什么地址? 3、有多少 阅读全文
摘要:
恶意代码分析实战三:动态分析基础技术 这节课主要是通过以下的例子,学会如何使用动态分析基础技术的一些工具。 Process Monitor Process Explorer WireShark Regshot rundll32 net start 命令 实验一: Lab03-01.exe 使用工具: 阅读全文
摘要:
恶意代码分析实战二:静态分析基础技术 我们主要通过以下的四个实验,来学习静态分析的基础技术,请大家务必完成每个实验中题目,这样才能得到有效的水平提升。 实验中的工具或样本都可以在这里下载到:https://github.com/Vxer-Lee/MalwareAnalysis 实验一: Lab01- 阅读全文
摘要:
恶意代码分析实战一:专业术语入门知识 什么是恶意代码分析? 恶意代码也称为恶意软件: 任何以某种方式对用户、计算机或网络造成破坏的软件,包括计算机病毒、木马、蠕虫、内核套件、勒索软件、间谍软件,等等。 恶意代码的类型: 恶意代码类型种类非常多,这里只列出比较常见的8中类型。 后门:病毒在电脑里面潜伏 阅读全文
摘要:
王爽汇编总结,指令系统总结 指令系统总结图: 参考文章: https://blog.csdn.net/qq_39654127/article/details/88698911 王爽《汇编语言》笔记(详细) 最后,我是先学的逆向,当时没有学汇编 才发现原来汇编对逆向是那么的重要,了解汇编后 再回头来看 阅读全文