上一页 1 ··· 22 23 24 25 26 27 28 29 30 ··· 269 下一页
2022年10月5日
恶意代码分析实战 隐蔽的恶意代码启动 lab12-1 12-2 12-3 12-4 进程注入、进程替换、hook procmon监控os api调用不行 数据分析还是要sysmon
摘要: 一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 - 创建远程线程 (winxp有效,win7我没有运行成功,why?) 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被c 阅读全文
posted @ 2022-10-05 19:45 bonelee 阅读(393) 评论(0) 推荐(0) 编辑
恶意代码分析实战 恶意代码行为 Lab11-1 11-2 11-3
摘要: 恶意代码分析实战Lab11-恶意代码行为 从本章开始,会见识各种恶意行为 笔记 下载器和启动器 下载器用来将恶意代码下载下来进行执行;启动器用来秘密加载恶意代码 后门(Backdoor) 后门程序往往实现了全套功能,不需要额外下载功能代码,有一套通用功能:注册表操作、文件操作等 反向Shell:从目 阅读全文
posted @ 2022-10-05 14:52 bonelee 阅读(778) 评论(0) 推荐(0) 编辑
2022年10月4日
恶意代码分析实战 windbg恶意软件分析 lab 10-3 通过rootkit隐藏恶意进程 这玩意要玩得很6的话 还是要对windows内核编程非常熟才行
摘要: 问题 1.这个程序做了些什么? sys里面反编译看到的: 从静态分析初步看,应该是sys rootkit方式注册的服务来运行恶意代码,sys里会删除什么东西。 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 实际运行, 阅读全文
posted @ 2022-10-04 22:47 bonelee 阅读(218) 评论(0) 推荐(0) 编辑
恶意代码分析实战 windbg内核恶意代码分析 lab 10-1 10-2(通过rootkit隐藏文件) 有时windbg会卡死 一直busy GG EDR检测rootkit暂无思路
摘要: Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 阅读全文
posted @ 2022-10-04 15:11 bonelee 阅读(563) 评论(1) 推荐(0) 编辑
2022年10月3日
恶意代码分析实战 ollydbg使用来了 Lab 9-1 9-2 9-3
摘要: Lab9-1:使用IDA Pro和OllyDbg分析恶意文件Lab9-1.exe,回答以下问题。 如何让这个恶意代码安装自身? 这个恶意代码的命令行选项是什么?它要求的密码是什么? 如何利用OllyDbg永久修补这个恶意代码,使其不需要指定的命令行密码? 这个恶意代码基于系统的特征是什么? 这个恶意 阅读全文
posted @ 2022-10-03 20:42 bonelee 阅读(805) 评论(0) 推荐(0) 编辑
2022年10月2日
恶意代码分析实战 IDA分析 lab 7-3 一个通过感染主机exe 修改kernel.dll为恶意dll的后门程序 要做清理的话 是很难的!
摘要: winxp运行该后门后: win7下: 运行前: 运行后还是一样,即便是用cmd管理员运行。看来该病毒只是适合在xp下运行。 Lab 7-3 静态分析strings + IDA pro 分析EXE 分析DLL 1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行? 2.这个恶意代码的两 阅读全文
posted @ 2022-10-02 23:43 bonelee 阅读(216) 评论(0) 推荐(0) 编辑
恶意代码分析实战 IDA 分析windows恶意程序 lab 7-1 7-2
摘要: 恶意代码分析实战 第七章 实验部分 第7章 分析恶意Windows程序(实验) Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码 1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)? 1.2 为什么这个程序会使用一个互斥量? 1.3 可以用来检测这个程序的基于主机 阅读全文
posted @ 2022-10-02 23:38 bonelee 阅读(459) 评论(0) 推荐(0) 编辑
恶意代码分析实战 IDA lab 6 c2程序分析很有用!
摘要: 第6章 识别汇编中的C代码结构(实验) Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码 1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1.2 位于0x40105F的子过程是什么? 1.3 这个程序的目的是什么? Lab 6-2:分析在文件L 阅读全文
posted @ 2022-10-02 20:49 bonelee 阅读(237) 评论(0) 推荐(0) 编辑
从IDA实战看函数参数和局部变量在栈里分布的差异
摘要: 问题:IDA Pro识别了在0x10001656处的子过程(函数)中的多少个局部变量? 当前版本的IDA,识别的是一个参数lpThreadParameter,以及62个参数 局部参数通常以var_开头,偏移值为负值,看红色部分;参数的偏移为正,看蓝色部分。 看恶意代码分袖实战里的截图: 阅读全文
posted @ 2022-10-02 17:00 bonelee 阅读(287) 评论(0) 推荐(0) 编辑
IDA使用 恶意代码分析实战 Lab 05 01
摘要: 恶意代码分析实战Lab0501 1.DllMain的地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 3.有多少函数调用了gethostbyname? 4.将精力集中在位于0x1000757处的对gethostbyname的调用,你能找出哪个DNS 阅读全文
posted @ 2022-10-02 14:59 bonelee 阅读(344) 评论(0) 推荐(0) 编辑
上一页 1 ··· 22 23 24 25 26 27 28 29 30 ··· 269 下一页