摘要:
具体分析 把样本放入exeinfo里面进行检测,发现是个delphi的程序,所以这里我们要用到delphi的反编译工具 现在我们打开spy窗口查看工具发现了窗口类名,并且在反编译窗口里面有几个函数调用 观察第一个chkcode函数但是不知道是哪个控件的我们可以打开窗体->DFM Editor 会得到 阅读全文
摘要:
具体分析 去除NAG弹窗 方法一 程序一运行就来到这个窗口,而这个窗口估计会延迟7秒才弹出真正的窗口,这里我们需要把这个窗口去掉。 然后使用spyxx工具获取窗口信息 因为程序是VB的所有使用VB的反编译工具打开,可以看到Timer 7000那个数字,那个就是延迟的。转换为16进制后为1B58,搜索 阅读全文
摘要:
具体分析 方法一:像这种程序出现错误会弹框的一般可以在MessgaeBox、GetTextA、GetWindowsText这个api下断点,当然也不包括特殊处理过断点下不到 方法二:搜索字符串快速定位sorry,the...这个字符串 以上两个方法就不怎么说了 方法三:因为我们知道这个代码是delp 阅读全文
摘要:
VB入口点 VC入口点 VC6特点:入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。 VS入口点 VS特点:入口点只有两行代码,一个CALL后直接JMP,第一个CALL进去后调用的API也 阅读全文
摘要:
基本信息 样本名:1 分析环境及工具:windows7 x64、IDA 7.0、OD md5:6426350e8787b601cf89b67da89d8269 查壳 无壳 行为预览 遍历注册表 遍历进程 跨进程读遍历进程内存 创建本地线程 打开了其他进程 访问了网络 设置特殊文件夹属性 具体分析 前 阅读全文
摘要:
环境配置 VsCode+go golang下载链接比较推荐这种压缩包的方式下载解压 配置环境变量 在path里面添加 解释下GOPATH src存放源代码的目录 pkg编译过后生成的包文件存放目录。 bin编译后生产的可执行文件和go相关的工具,都在此目录。 到现在vscode还是不可以直接F5的还 阅读全文
摘要:
安装环境 要求 Python 2.7, or Python 3.4 or higher pip version 9.0.1 or higher 安装grpcio模块 python -m pip install grpcio 安装 pip install grpcio-tools 下载例子 https 阅读全文