摘要: 目录 APM软件原理分析1 0x00 背景1 0x01 安装过程1 0x02 启动过程5 0x03 触发过程7 0x04 整体流程13 0x05 资源13 APM软件原理分析 0x00 背景 本次使用PHP网站的APM监控插件作为研究对象,目的在于搞清: 1)分析安装过程中对哪些进程和文件进行了修改; 2)插件... 阅读全文
posted @ 2016-02-25 17:41 alert123 阅读(958) 评论(5) 推荐(1) 编辑
摘要: idapython让生活变得更美好:第四部分 ——使用颜色和调试功能标识指令 前三部分已经验证了用IDAPython能让工作变简单。这一部分让我们看看逆向工程师如何使用IDAPython的颜色和强大的脚本特性。 分析者经常得面对越来越复杂的代码,而且有时候无法轻易看出动态执行的时候执行的代码。使用IDAPython的强大功能,我们不但能静态的标识指令,并且能够统计出对应的指令被使用了多少次... 阅读全文
posted @ 2016-02-25 17:33 alert123 阅读(1089) 评论(0) 推荐(0) 编辑
摘要: 原文链接: http://researchcenter.paloaltonetworks.com/2016/01/using-idapython-to-make-your-life-easier-part-5/ 我们继续IDAPython让生活更美好序列,这一部分我们解决逆向工程师日常遇到的问题:提取执行的内嵌代码。 恶意软件会用各种方式存储内嵌可执行代码。 有些恶意软件将内嵌代码加到文件附加... 阅读全文
posted @ 2016-02-25 17:33 alert123 阅读(599) 评论(0) 推荐(0) 编辑
摘要: idapython让生活变得更美好:第三部分(条件断点) 在过去两个部分中,我们已经讨论了使用IDAPython让逆向工程更容易一些。这一部分我们来看一下条件断点。 当在IDA中调试时,分析者经常遇到希望在一个特殊的地址中断下来的情况,但只有一些特定的情况能够触发。一个典型的例子就是,只有在特殊的参数传递进去的时候,才能断到一个特殊的函数的调用处。另外一个实例是我希望我的分析虚拟机加载一个特... 阅读全文
posted @ 2016-02-25 17:32 alert123 阅读(2407) 评论(0) 推荐(0) 编辑
摘要: 继续我们的主题——使用IDAPython让逆向工程师的生活变得更美好。 这一部分,我们将着手处理一个非常常见的问题:shellcode和恶意软件使用hash算法混淆加载的函数和链接库,这项技术被广泛使用。使用IDAPython,我们能够很容易的解决这个很有挑战性的问题。 背景 逆向人员经常在shellcode里遇到名字被混淆的函数。 总体来说这个过程比较简单。 代码运行之后会在初始化阶... 阅读全文
posted @ 2016-02-25 17:32 alert123 阅读(1020) 评论(0) 推荐(0) 编辑
摘要: 作为一个恶意软件逆向工程师,我每天都频繁的使用IDA Pro。甚至将IDA Pro作为一个工业标准都不令人惊讶(虽然radare2和Hopper可以作为替代)。 IDAPython是IDA的一个功能强大的扩展特性,对外提供了大量的IDA API调用,我强烈推荐所有的逆向工程师使用。另外,你还能在使用python 脚本语言的过程中获得能力提升,最终也能使你获利。 不幸的是,除了下面这几项,关于I... 阅读全文
posted @ 2016-02-25 17:31 alert123 阅读(1324) 评论(0) 推荐(2) 编辑
摘要: 构建自己的yara数据库 之前有看到过关于yara的文章,基本是关于规则怎么写的翻译文章。But…现实分析中我遇到的问题是我懒得自己写yara规则,我的yara规则库数量太少了,开始很多文件无法匹配出结果。yara规则怎么写对我来说暂时用不上,我需要的是能快速建立yara规则库,对于新的恶意软件,最好有工具能够自动帮我分析出样本的yara规则,然后添加到现有的yara规则库中。 解决方案 在网上找... 阅读全文
posted @ 2016-02-25 17:29 alert123 阅读(2216) 评论(0) 推荐(0) 编辑