摘要：上月29号数字发布名为海莲花”APT报告：攻击中国政府海事机构的网络空间威胁的apt报告，遂对该攻击样本进行了一番分析。整 个样本的整体行为如上图所示，样本的通常为一个图标为word的exe程序，点击之后样本会释放出形如XXXX.tmp的文件并运行，该文件首先会释放一 个正常的doc文件运行，用以迷... 阅读全文

摘要：第二题程序运行开启端口12543ida打开程序，在函数initFunctions中会将之后要使用的系统函数以及字符串的地址保存在一个表中。如下图之后会调用函数parrot如下图，在该函数中会调用unk_603820处的函数，通过之前的initFunction函数可发现该处对应函数callFuntio... 阅读全文

摘要：前段时间一个比较大的比赛上遇到的两个题目，遂记录一下运行改程序该程序开启的端口为12345 发送畸形数据包之后程序崩溃，如下图可知，崩溃点发生在函数0x000000000040096b中 通过调试发现溢出发生在函数calc的memcpy函数中溢出之后的堆栈，此时返回地址0x7fffffffc320被... 阅读全文