将者，智、信、仁、勇、严也。

摘要： 先反编译看看： 函数在做base64加密： 验证下想法，果然： 后面的功能，就是在下载执行了： 我们分析下细节： 问题1： 使用wireshark进行监控网络特征，运行试验程序Lab14-01.exe： 可以看到一开始就发送了一个DNS请求，目标地址就是一个网址。接着可以看到： 发现一个HTTP的G 阅读全文

摘要： Lab13-1 整体功能：向远程主机发送本机gethostname信息，该信息通过base64加密，远程请求的主机域名也被xor加密。 看下代码反编译的情况： 下面函数是从资源文件里提取加密的：www.practicalmalwareanalysis.com 使用了简单的xor加密： 接下来就是发送 阅读全文

摘要： 一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 - 创建远程线程 （winxp有效，win7我没有运行成功，why?） 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被c 阅读全文

摘要： 恶意代码分析实战Lab11-恶意代码行为 从本章开始，会见识各种恶意行为 笔记 下载器和启动器 下载器用来将恶意代码下载下来进行执行；启动器用来秘密加载恶意代码 后门（Backdoor） 后门程序往往实现了全套功能，不需要额外下载功能代码，有一套通用功能：注册表操作、文件操作等 反向Shell：从目 阅读全文

摘要： 问题 1.这个程序做了些什么？ sys里面反编译看到的： 从静态分析初步看，应该是sys rootkit方式注册的服务来运行恶意代码，sys里会删除什么东西。 解答：书上说本次实验包括一个驱动程序和一个可执行文件，还要把驱动程序放到C:\Windows\System32目录下面，我们试试 实际运行， 阅读全文

摘要： Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件，但为了使程序能够正常运行，必须将驱动程序放到C:\Windows\System32目录下，这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 阅读全文

摘要： Lab9-1：使用IDA Pro和OllyDbg分析恶意文件Lab9-1.exe，回答以下问题。 如何让这个恶意代码安装自身? 这个恶意代码的命令行选项是什么?它要求的密码是什么? 如何利用OllyDbg永久修补这个恶意代码，使其不需要指定的命令行密码? 这个恶意代码基于系统的特征是什么？ 这个恶意 阅读全文

摘要： winxp运行该后门后： win7下： 运行前： 运行后还是一样，即便是用cmd管理员运行。看来该病毒只是适合在xp下运行。 Lab 7-3 静态分析strings + IDA pro 分析EXE 分析DLL 1.这个程序如何完成持久化驻留，来确保在计算机被重启后它能继续运行？ 2.这个恶意代码的两 阅读全文

摘要： 恶意代码分析实战 第七章 实验部分 第7章 分析恶意Windows程序（实验） Lab 7-1：分析在文件Lab07-01.exe中发现的恶意代码 1.1 当计算机重启后，这个程序如何确保它继续运行（达到持久化驻留）？ 1.2 为什么这个程序会使用一个互斥量？ 1.3 可以用来检测这个程序的基于主机 阅读全文

摘要： 第6章 识别汇编中的C代码结构（实验） Lab 6-1：在这个实验中，你将分析在文件Lab06-01.exe中发现的恶意代码 1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么？ 1.2 位于0x40105F的子过程是什么？ 1.3 这个程序的目的是什么？ Lab 6-2：分析在文件L 阅读全文