摘要: 问题引入:dll有一个导出函数,函数参数是string&,string在函数内部被=赋值。在exe动态加载此dll,调用此导出函数后,会崩溃。 原因:如果任何STL类的实现中使用了静态变量(我们无从得知但map、string存在此问题),且编译dll时,vc的运行库设置为MT或MTd,会静态链接VC 阅读全文
posted @ 2024-03-21 17:29 人类观察者 阅读(682) 评论(0) 推荐(2) 编辑
摘要: 百度了一会,发现没太有文字讲这件事情,因此整理成文字记录一下。 processEvents介绍 长时间运行的操作可以调用processEvents() 保持应用程序响应能力。 void QCoreApplication::processEvents(QEventLoop::ProcessEvents 阅读全文
posted @ 2024-02-06 15:59 人类观察者 阅读(1479) 评论(0) 推荐(1) 编辑
摘要: 使用 IDA Pro 分析 Lab05-01.dll 1、DllMain的地址是什么? 2、使用Imports窗口并浏览到的gethostbyname,导入函数定位到什么地址? 3、有多少函数调用了gethostbyname? 4、将精力集中在位于0x10001757处的对gethostbyname 阅读全文
posted @ 2022-12-10 17:00 人类观察者 阅读(337) 评论(0) 推荐(0) 编辑
摘要: 1.加载一个可执行文件 ① 选项一:当加载一个文件(如PE文件),IDA像操作系统加载器一样将文件映射到内存中。 ② 选项三:Binary File:将文件作为一个原始的二进制文件进行反汇编,例如文件带有shellcode、其他数据、加密参数,甚至里面带有可执行文件,如果文件还是以正常形式加载到ID 阅读全文
posted @ 2022-12-10 16:51 人类观察者 阅读(206) 评论(0) 推荐(0) 编辑
摘要: 一、特征修改 一个加载器存在两个明显的特征,一个是shellcode和硬编码字符串。我们需要消除这些特征,比较方便使用一个简单的异或加密就能消除shellcode的特征。第二个是加载器的关联特征也需要消除,通过加入无意义的代码干扰反病毒引擎。 二、花指令免杀 花指令其实就是一段毫无意义的指令,也可以 阅读全文
posted @ 2022-12-06 20:05 人类观察者 阅读(221) 评论(0) 推荐(0) 编辑
摘要: 实验三 Lab03-03.exe 1.当使用 Process Explorer 工具进行监视的时候,注意到了什么?2.可以找出内存修改的行为吗?3.这个恶意代码在主机上的感染迹象特征是什么?4.这个恶意代码的目的是什么? 1.运行程序,发现创建了子进程 svchost.exe,主进程 Lab03-0 阅读全文
posted @ 2022-12-02 22:13 人类观察者 阅读(99) 评论(0) 推荐(0) 编辑
摘要: 实验1 Lab03-01.exe 实验内容: 1、找出这个恶意代码的导入函数与字符串列表? 2、这个恶意代码在主机上的感染特征是什么? 3、这个恶意代码是否存在一些有用的网络特征码?如果存在,他们是什么? 1.导入函数和字符串列表 字符串有几处可疑的地方:网址、三个注册表值,其中一个注册表值还是自启 阅读全文
posted @ 2022-12-02 22:09 人类观察者 阅读(199) 评论(0) 推荐(0) 编辑
摘要: 注:一些恶意代码可能会检测是否在虚拟机环境中运行。17章将具体讨论对抗 VMware 环境的技术。 主机模式网络: 主机模式网络,可以在宿主操作系统和客户操作系统间创建一个隔离的私有局域网。主机模式的局域网并不会连接到互联网。 在配置宿主计算机时,一定要确保补丁完全,且配置一个严格的防火墙,来限制从 阅读全文
posted @ 2022-12-02 22:04 人类观察者 阅读(67) 评论(0) 推荐(0) 编辑
摘要: Lab01-04.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、这个文件是什么时候被编译的? 阅读全文
posted @ 2022-12-02 22:02 人类观察者 阅读(84) 评论(0) 推荐(0) 编辑
摘要: Lab01-03.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、有没有任何导入函数能够暗示出这 阅读全文
posted @ 2022-12-02 22:02 人类观察者 阅读(99) 评论(0) 推荐(0) 编辑