摘要:
Lab 19-1 ==》先申明下,因为缺失利用该shellcode的上下文,也就是漏洞利用的环境,所以分析起来非常蛋疼! 本次实验我们将会分析lab19-01文件。先来看看要求解答的问题 Q1.这段shellcode是如何编码的? Q2.这段shellcode手动导入了哪个函数? Q3.这段shel 阅读全文
摘要:
脱壳存根 被加壳程序中的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节中。 脱壳存根执行了以下三步操作: 1. 将原始程序脱壳到内存中; 2. 解析原始可执行文件的所有导入函数; 3 阅读全文
摘要:
先反编译看看: 函数在做base64加密: 验证下想法,果然: 后面的功能,就是在下载执行了: 我们分析下细节: 问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: 发现一个HTTP的G 阅读全文
摘要:
Lab13-1 整体功能:向远程主机发送本机gethostname信息,该信息通过base64加密,远程请求的主机域名也被xor加密。 看下代码反编译的情况: 下面函数是从资源文件里提取加密的:www.practicalmalwareanalysis.com 使用了简单的xor加密: 接下来就是发送 阅读全文