摘要:
恶意代码分析实战Lab0501 1.DllMain的地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 3.有多少函数调用了gethostbyname? 4.将精力集中在位于0x1000757处的对gethostbyname的调用,你能找出哪个DNS 阅读全文
摘要:
笔记 动态分析基础,这部分还没涉及到看反汇编进行分析,主要是运行程序,然后通过监控软件检测程序运行的内容 使用沙箱查看运行报告,可以获取一部分信息 首先要在虚拟机上运行恶意代码: 如果是DLL,可以通过rundll32.exe DLLName, ExportFun来进行执行 如果是服务DLL,则需要 阅读全文
摘要:
INetSim INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。 一 安装 从网上的反馈看 阅读全文
摘要:
DNS Spoofing with APATEDNS 20th February 2015 Wannes.Colman Leave a comment If you quickly want to find out what the malware in your sandbox is resolv 阅读全文
摘要:
Lab1-2 分析Lab1.2.exe文件 目录 Lab1-2 2. 是否有这个文件被加壳或混淆的任何迹象? 3. 有没有任何导入函数能够暗示出这个程序的功能? 4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进 阅读全文
摘要:
www.virscan.org/language/zh-cn/ VirSCAN是一个非盈利性的免费为广大网友服务的网站,它通过多个国家不同的软件的病毒检测引擎对用户上传的可疑文件进行在线扫描,并快速将检测结果展现,从而让你快速判断文件的可疑程度。也是我个人比较喜欢,用的比较多的一个网站 阅读全文
摘要:
常见管道名: "MSSE-", "postex_", "msagent_", "status_" 以及: interprocess_|samr_|netlogon_|srvsvc_|lsarpc_|wkssvc_|DserNamePipe|SearchTextHarvester|windows.up 阅读全文
摘要:
可以去申请一个商业版的试用: https://console.cloud.wazuh.com 我的如下(我安装的是linux版本): 使用hydra在kali下做暴力破解攻击。==》可以看到wazuh是将爆破的原始事件缓存了。最终取证输出。 测试了下火绒,GG了!没有检测出暴力破解: 阅读全文
摘要:
Dependency Walker使用说明 微软官方有提供depends,可以查看exe文件的依赖库,仅适用于winxp/win7/win8,但是不能用于win10,会卡死报错. https://github.com/lucasg/Dependencies 最新版本看这里! 原文链接:https:/ 阅读全文
摘要:
UPX壳 ①经过UPX压缩的win32/pe文件,包含三个区段:UPX0, UPX1, .rsrc或UPX0, UPX1, UPX2(原文件本身无资源时)。UPX0:在文件中没有内容,它的”Virtual size”加上UPX1的构成了原文件全部区段需要的内存空间,相当于区段合并。②UPX1:起始位 阅读全文