09 2020 档案
摘要:写在前面 在恶意代码分析时需要建造一个封闭隔离的较为安全的环境,不能让恶意代码感染我们的宿主机器。而一般恶意代码在运行时又会访问互联网,为了更为准确的分析恶意代码我们需要建造一个与宿主机器隔离的局域网络,并且这个局域网络并不连接宿主机器。这样恶意代码既可以连接到网络又不会感染到我们的宿主机器。但是我
阅读全文
摘要:OD的DBGHELP模块 检测DBGHELP模块,此模块是用来加载调试符号的,所以一般加载此模块的进程的进程就是调试器。绕过方法也很简单,将DBGHELP.DLL改名。 #include <Windows.h> #include <TlHelp32.h> int main(int argc, cha
阅读全文
摘要:写在前面 在逆向工程中为了防止破解者调试软件,通常都会在软件中采用一些反调试技术来防破解。下面就是一些在逆向工程中常见的反调试技巧与示例。 BeingDebuged 利用调试器加载程序时调试器会通过CreateProcess()创建调试进程,同时会创建调试内核对象并保存在当前线程环境块的DbgSsR
阅读全文
摘要:一步直达法 所谓的一步直达法就是利用壳的特征。壳一般在执行完壳代码之后需要跳转到OEP处,而这个跳转指令一般是call ,jmp ,push retn类型的指令,而且因为壳代码所在的区段和OEP代码所在的区段一般属于不同的区段,所以我们可以通过搜索这些特殊指令的机器码并查看其跳转范围,如果跳转范围较
阅读全文
