摘要: Lab01-02.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、有没有任何导入函数能够暗示出这 阅读全文
posted @ 2022-12-02 22:00 人类观察者 阅读(126) 评论(0) 推荐(0) 编辑
摘要: 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?(国内用https://www.virscan.org/替代)2、这些文件是什么时候编译的? 3、这两个文件中是否存在迹象说明他们是否被加壳或混淆了?如果是,这些迹 阅读全文
posted @ 2022-12-02 21:58 人类观察者 阅读(254) 评论(0) 推荐(0) 编辑
摘要: 静态分析指的是分析程序指令与结构来确定功能的过程,在这个时候,程序本身是不运行的。 本章将讨论可执行文件提取有用信息的方法,包括以下技术: 使用反病毒软件来确认程序样本的恶意性 使用哈希来识别恶意代码 从文件的字符串列表、函数、文件头信息种发掘有用的信息 1.反病毒引擎的扫描 分析一个可疑样本的时候 阅读全文
posted @ 2022-12-02 21:55 人类观察者 阅读(175) 评论(0) 推荐(0) 编辑
摘要: 1.恶意代码分析技术 恶意代码分析技术有两种方法:静态分析和动态分析。 2.恶意代码类型 后门 僵尸网络 下载器 间谍软件 启动器 内核套件 勒索软件 发送垃圾邮件的恶意代码 蠕虫或计算机病毒 阅读全文
posted @ 2022-11-28 14:31 人类观察者 阅读(81) 评论(0) 推荐(0) 编辑
摘要: Windows 提供了向量化异常处理(vectored excepation handing,VEH)机制。程序可以注册一个函数,每当异常发送或者一个未处理异常脱离标准SEH的控制时,这个函数就会被调用。 PVOID AddVectoredExceptionHanler(ULONG bFirstIn 阅读全文
posted @ 2022-11-25 16:35 人类观察者 阅读(345) 评论(0) 推荐(0) 编辑
摘要: 对于未处理异常,例如异常过滤返回EXCEPTION_CONTINUE_SEARCH,向上搜索,但无法搜索到处理部分,产生未处理异常。Windows提供了 SetUnhandledExceptionFilter 函数,给我们处理异常的最后机会,否则 Windows 会正式认为这个异常没有得到处理。 默 阅读全文
posted @ 2022-11-25 16:33 人类观察者 阅读(1041) 评论(0) 推荐(0) 编辑
摘要: (structured exception handing)SEH 包含终止处理和异常处理。本章讨论异常处理。 当一个硬件或者软件异常被抛出的时候,操作系统会给我们程序一个查看异常类型的机会,并允许程序自己处理这个异常。下面演示了异常处理程序的语法结构: _try{ // Guarded body 阅读全文
posted @ 2022-11-24 20:26 人类观察者 阅读(624) 评论(0) 推荐(0) 编辑
摘要: (structured exception handing)SEH 包含终止处理和异常处理。本章讨论终止处理。 一、终止处理 终止处理程序确保不管一个代码块(被保护代码)如何退出的,另一个代码块(终止处理程序)总能被调用和执行。语法如下: __try{// Guarded body}__finall 阅读全文
posted @ 2022-11-24 20:14 人类观察者 阅读(40) 评论(0) 推荐(0) 编辑
摘要: 部分笔记来自于:https://blog.csdn.net/Steven_programe_life/article/details/103358251?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidul 阅读全文
posted @ 2022-11-23 11:45 人类观察者 阅读(79) 评论(0) 推荐(0) 编辑
摘要: 应用程序通过调用一组4个函数来使用动态 TLS,这些函数实际上最经常为 DLL 所使用。 通常情况下,如果DLL使用 TLS,那么当它用 DLL_PROCESS_ATTACH 标志调用它的 DllMain 函数时,它也调用TlsAlloc。当它用DLL_PROCESS_DETACH 调用 DllMa 阅读全文
posted @ 2022-11-23 11:43 人类观察者 阅读(154) 评论(0) 推荐(0) 编辑