上一页 1 ··· 24 25 26 27 28 29 30 31 32 ··· 271 下一页
2022年10月2日
从IDA实战看函数参数和局部变量在栈里分布的差异
摘要: 问题:IDA Pro识别了在0x10001656处的子过程(函数)中的多少个局部变量? 当前版本的IDA,识别的是一个参数lpThreadParameter,以及62个参数 局部参数通常以var_开头,偏移值为负值,看红色部分;参数的偏移为正,看蓝色部分。 看恶意代码分袖实战里的截图: 阅读全文
posted @ 2022-10-02 17:00 bonelee 阅读(306) 评论(0) 推荐(0) 编辑
IDA使用 恶意代码分析实战 Lab 05 01
摘要: 恶意代码分析实战Lab0501 1.DllMain的地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 3.有多少函数调用了gethostbyname? 4.将精力集中在位于0x1000757处的对gethostbyname的调用,你能找出哪个DNS 阅读全文
posted @ 2022-10-02 14:59 bonelee 阅读(383) 评论(0) 推荐(0) 编辑
2022年10月1日
恶意代码分析 动态行为分析 Lab3-1 Lab3-2 Lab3-3 Lab3-4
摘要: 笔记 动态分析基础,这部分还没涉及到看反汇编进行分析,主要是运行程序,然后通过监控软件检测程序运行的内容 使用沙箱查看运行报告,可以获取一部分信息 首先要在虚拟机上运行恶意代码: 如果是DLL,可以通过rundll32.exe DLLName, ExportFun来进行执行 如果是服务DLL,则需要 阅读全文
posted @ 2022-10-01 18:38 bonelee 阅读(587) 评论(0) 推荐(0) 编辑
INetSim模拟C2 这玩意比起nc来说更专业!
摘要: INetSim INetSim是一个非常方便和强大的实用程序,允许你在一台机器上模拟一堆标准的Internet服务。默认情况下,它将模拟可以轻松调整的DNS,HTTP和SMTP。由于我们后续会将受害者机器配置为无Internet访问,因此我们需要使用INetSim进行模拟。 一 安装 从网上的反馈看 阅读全文
posted @ 2022-10-01 18:03 bonelee 阅读(317) 评论(0) 推荐(0) 编辑
nc这个工具用于伪造c2服务器 做c2初始连接的抓包分析实在是太tm好用了!必要时候配合APATEDNS
摘要: DNS Spoofing with APATEDNS 20th February 2015 Wannes.Colman Leave a comment If you quickly want to find out what the malware in your sandbox is resolv 阅读全文
posted @ 2022-10-01 17:44 bonelee 阅读(89) 评论(0) 推荐(0) 编辑
如何查看加壳的恶意软件 Lab1-2 Lab1-3 恶意代码分析
摘要: Lab1-2 分析Lab1.2.exe文件 目录 Lab1-2 2. 是否有这个文件被加壳或混淆的任何迹象? 3. 有没有任何导入函数能够暗示出这个程序的功能? 4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进 阅读全文
posted @ 2022-10-01 15:50 bonelee 阅读(297) 评论(0) 推荐(0) 编辑
VirSCAN.org
摘要: ​ www.virscan.org/language/zh-cn/ VirSCAN是一个非盈利性的免费为广大网友服务的网站,它通过多个国家不同的软件的病毒检测引擎对用户上传的可疑文件进行在线扫描,并快速将检测结果展现,从而让你快速判断文件的可疑程度。也是我个人比较喜欢,用的比较多的一个网站 阅读全文
posted @ 2022-10-01 12:51 bonelee 阅读(16) 评论(0) 推荐(0) 编辑
2022年9月29日
通过命名管道检测Cobalt Strike
摘要: 常见管道名: "MSSE-", "postex_", "msagent_", "status_" 以及: interprocess_|samr_|netlogon_|srvsvc_|lsarpc_|wkssvc_|DserNamePipe|SearchTextHarvester|windows.up 阅读全文
posted @ 2022-09-29 17:46 bonelee 阅读(306) 评论(0) 推荐(0) 编辑
wazuh hids爆破攻击检测——可以看到wazuh是将爆破的原始事件缓存了,最终取证输出。
摘要: 可以去申请一个商业版的试用: https://console.cloud.wazuh.com 我的如下(我安装的是linux版本): 使用hydra在kali下做暴力破解攻击。==》可以看到wazuh是将爆破的原始事件缓存了。最终取证输出。 测试了下火绒,GG了!没有检测出暴力破解: 阅读全文
posted @ 2022-09-29 15:38 bonelee 阅读(116) 评论(0) 推荐(0) 编辑
2022年9月28日
Dependency Walker使用说明
摘要: Dependency Walker使用说明 微软官方有提供depends,可以查看exe文件的依赖库,仅适用于winxp/win7/win8,但是不能用于win10,会卡死报错. https://github.com/lucasg/Dependencies 最新版本看这里! 原文链接:https:/ 阅读全文
posted @ 2022-09-28 16:27 bonelee 阅读(2308) 评论(0) 推荐(0) 编辑
上一页 1 ··· 24 25 26 27 28 29 30 31 32 ··· 271 下一页