摘要:
Question: 1.DLLMain的地址是什么? 2.使用import窗口并浏览到gethostbyname,导入函数定位到什么位置 3.有多少函数调用了gethostbyname? 4.将精力放在0x10001757处的对gethostbyname的调用,你能找出那个DNS请求将被触发? 5. 阅读全文
摘要:
5.1 加载一个可执行文件 默认情况下IDA Pro的反汇编代码中不包含PE头或资源节,可以手动指定加载。 5.2 IDA Pro接口 5.2.1 反汇编窗口模式 二进制模式/图形模式: 图形模式:红色表示一个条件跳转没有被采用,绿色表示这个条件跳转被采用,蓝色表示一个无条件跳转被采用。箭头的方向显 阅读全文
摘要:
4.1 抽象层次 硬件<微指令<机器码<低级语言<高级语言<解释型语言 4.2 逆向工程 4.3 x86体系结构 冯-诺依曼体系结构 中央处理器(CPU): 负责执行代码。 内存(RAM): 负责存储所有的数据和代码。 输入/输出(I/O): 为硬盘、键盘、显示器等设备提供接口。 控制单元(cont 阅读全文
摘要:
Lab 3-1 Question: 1.先对文件使用PEID进行查壳,显示文件被加壳处理过 2.使用Dependency Walker查看文件导入函数,文件只有一个DLL而且只有一个导入函数Exitprocess 3.使用Strings程序查看字符串,发现可疑字符串。 4.动态分析前期准备 4.1 阅读全文
摘要:
3.1 沙箱:简便但粗糙的方法 沙箱是一种在安全环境里运行不信任程序的安全机制。 3.1.1 使用恶意代码沙箱:Norman沙箱、GFI沙箱(沙箱网站/沙箱工具) 3.1.2 沙箱的缺点: 1.不能运行带有特定恶意(命令行或注册表)的程序 2.沙箱记录事件的缺陷性 3.恶意代码对沙箱的检测 3.2 阅读全文
摘要:
2.1 虚拟机的结构 2.2 创建恶意代码分析机 2.2.1 配置WMware 2.2.2 断开网络 2.2.3 创建主机模式网络 2.2.4 使用多个虚拟机 2.3 使用恶意代码分析机 2.3.1 让恶意代码连接网络 2.3.2 连接和断开外围设备 2.3.3 拍摄快照 2.3.4 从虚拟机传输文 阅读全文
摘要:
Lab1-1 Question: 1.上传文件至VirusTotal,有相应的反病毒特征 2.使用PEview无法查看文件编译时间,但virustotal结果显示: Creation Time 2010-12-19 16:16:38 Creation Time 2010-12-19 16:16:19 阅读全文
摘要:
1.1 反病毒引擎扫描 VirusTotal:http://www.virustotal.com VirSCAN:http://www.virscan.org 1.2 哈希值:恶意代码的指纹 MD5计算软件:md5deep、WinMD5 1.3 查找字符串 编码:ASCLL(单字节)、Unicode 阅读全文