摘要:
切片原型 strs = ‘abcdefg’ Strs[start: end:step] 切片的三个参数分别表开始,结束,步长 第一位下标为0,end位不取,如strs[1:3] = ‘bc’ 如果start,end超出现有数组范围,按实际范围截断strs[-100:100]=’abcdefg’ St 阅读全文
摘要:
目录 APM软件原理分析1 0x00 背景1 0x01 安装过程1 0x02 启动过程5 0x03 触发过程7 0x04 整体流程13 0x05 资源13 APM软件原理分析 0x00 背景 本次使用PHP网站的APM监控插件作为研究对象,目的在于搞清: 1)分析安装过程中对哪些进程和文件进行了修改; 2)插件... 阅读全文
摘要:
原文链接: http://researchcenter.paloaltonetworks.com/2016/01/using-idapython-to-make-your-life-easier-part-5/ 我们继续IDAPython让生活更美好序列,这一部分我们解决逆向工程师日常遇到的问题:提取执行的内嵌代码。 恶意软件会用各种方式存储内嵌可执行代码。 有些恶意软件将内嵌代码加到文件附加... 阅读全文
摘要:
idapython让生活变得更美好:第四部分 ——使用颜色和调试功能标识指令 前三部分已经验证了用IDAPython能让工作变简单。这一部分让我们看看逆向工程师如何使用IDAPython的颜色和强大的脚本特性。 分析者经常得面对越来越复杂的代码,而且有时候无法轻易看出动态执行的时候执行的代码。使用IDAPython的强大功能,我们不但能静态的标识指令,并且能够统计出对应的指令被使用了多少次... 阅读全文
摘要:
继续我们的主题——使用IDAPython让逆向工程师的生活变得更美好。 这一部分,我们将着手处理一个非常常见的问题:shellcode和恶意软件使用hash算法混淆加载的函数和链接库,这项技术被广泛使用。使用IDAPython,我们能够很容易的解决这个很有挑战性的问题。 背景 逆向人员经常在shellcode里遇到名字被混淆的函数。 总体来说这个过程比较简单。 代码运行之后会在初始化阶... 阅读全文
摘要:
idapython让生活变得更美好:第三部分(条件断点) 在过去两个部分中,我们已经讨论了使用IDAPython让逆向工程更容易一些。这一部分我们来看一下条件断点。 当在IDA中调试时,分析者经常遇到希望在一个特殊的地址中断下来的情况,但只有一些特定的情况能够触发。一个典型的例子就是,只有在特殊的参数传递进去的时候,才能断到一个特殊的函数的调用处。另外一个实例是我希望我的分析虚拟机加载一个特... 阅读全文
摘要:
作为一个恶意软件逆向工程师,我每天都频繁的使用IDA Pro。甚至将IDA Pro作为一个工业标准都不令人惊讶(虽然radare2和Hopper可以作为替代)。 IDAPython是IDA的一个功能强大的扩展特性,对外提供了大量的IDA API调用,我强烈推荐所有的逆向工程师使用。另外,你还能在使用python 脚本语言的过程中获得能力提升,最终也能使你获利。 不幸的是,除了下面这几项,关于I... 阅读全文
摘要:
构建自己的yara数据库 之前有看到过关于yara的文章,基本是关于规则怎么写的翻译文章。But…现实分析中我遇到的问题是我懒得自己写yara规则,我的yara规则库数量太少了,开始很多文件无法匹配出结果。yara规则怎么写对我来说暂时用不上,我需要的是能快速建立yara规则库,对于新的恶意软件,最好有工具能够自动帮我分析出样本的yara规则,然后添加到现有的yara规则库中。 解决方案 在网上找... 阅读全文
摘要:
Java反序列化漏洞研究 漏洞原理 java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。当反序列化的输入来源于程序外部,可以被用户控制,恶意用户便可以构造恶意的字节流,经反序列化之后得到精心构造的恶意对象。 也就是说一些java应用的数据在网络中传输,我们把里面的序列化数据抠出来,替换成我们的payload,应用程序接收之后把payl... 阅读全文
摘要:
http://pan.baidu.com/s/1hqNVMni 阅读全文