摘要： 主要参考资料：《恶意代码分析实战》 本文是基于计算机病毒课程实践部分的总结，这些实践是自主尝试学习分析恶意代码的过程，如有疏漏不妥之处，还请不吝赐教！ 我的相关博客 实践部分： "计算机病毒实践汇总二：BUFFERZONE沙盘使用体验" "计算机病毒实践汇总三：动态分析基础(分析程序)" "计算机病 阅读全文

摘要： 在尝试学习分析的过程中，判断结论不一定准确，只是一些我自己的思考和探索。敬请批评指正！ 涉及内容： INetSim安装及使用 ApateDNS安装及使用 1. 搭建病毒分析网络环境原因 使用虚拟机作为沙箱能把病毒与外界完全隔离开，但是很多病毒需要连接网络才能触发特定的行为，所以我们需要搭建一个尽量真 阅读全文

摘要： 在尝试学习分析的过程中，判断结论不一定准确，只是一些我自己的思考和探索。敬请批评指正！ 1. 实践内容 搜索、下载并执行Process Monitor，观察随着时间的推移，软件所记录信息；设置监控条件对恶意代码敏感的功能进行监控。 搜索、下载并执行Process Explorer，查看进程列表，选择 阅读全文

摘要： 在尝试学习分析的过程中，判断结论不一定准确，只是一些我自己的思考和探索。敬请批评指正！ 1. netcat概述 （1）特性 “TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对外连接上。 从标准输入得到数据进行网络传输，它得到的数据可以通过标准输出显示到屏幕上。 连接模 阅读全文

摘要： 一、软件源维护 1. 基本操作 （1）查看源列表 sudo vim /etc/apt/sources.list deb：二进制软件安装包 deb src：源码包 （2）备份软件源列表 sudo cp /etc/apt/source.list /etc/apt/backup_source.list （ 阅读全文

摘要： 一、设备类型 1. Unix系统 块设备 字符设备 网络设备 2. 块设备 通常缩写为blkdev，它是可寻址的，寻址以块为单位，块大小随设备不同而不同；块设备通常支持重定位操作，也就是对数据的随机访问。 块设备是通过称为“块设备节点”的特殊文件来访问的，井且通常被挂载为文件系统。 3. 字符设备 阅读全文

摘要： 本书第三章是动态分析的入门，对进行动态分析最基本的工具和方法进行了简述。 第三章 动态分析基础技术 1. 运行恶意代码 （1）使用恶意代码沙箱 沙箱是一种安全环境中运行不信任程序的安全机制。 用作初始诊断：自动执行与分析 缺点 只能简单执行，无法输入控制指令。 不能记录所有事件，只报告基本功能。 沙 阅读全文

摘要： 在尝试学习分析的过程中，判断结论不一定准确，只是一些我自己的思考和探索。敬请批评指正！ 1. 安装bufferzone及其简单使用 （1）安装BufferZone BufferZone的msi安装文件 同意许可协议并安装在默认路径下 安装完成后重启（一般重启过程中会自动进行重定向） 安装文件夹中的相 阅读全文

摘要： 韩玉琪 + 原创作品转载请注明出处 + 《Linux内核分析》MOOC课程 "http://mooc.study.163.com/course/USTC 1000029000" 一、课程总结 1. 课程学习概述 计算机的工作方式：理解Linux的切入点。 Linux的整体理解：操作系统的启动、系统功 阅读全文

摘要： 韩玉琪 + 原创作品转载请注明出处 + 《Linux内核分析》MOOC课程 "http://mooc.study.163.com/course/USTC 1000029000" 一、进程切换的关键代码 操作系统原理中介绍了大量进程调度算法，这些算法从实现的角度看仅仅是从运行队列中选择一个新进程，选择 阅读全文