随笔分类 -  恶意代码分析

逆向工程部分
摘要:六、逆向工程(一)对抗反汇编1、反汇编算法:(1)线性反汇编算法:遍历代码段,一次一条指令的先行反汇编,用已经反汇编的指令大小来决定下一个要反汇编的字节,而不考虑代码流的控制指令。不能区分代码与数据,最容易被恶意代码挫败(2)面向代码流的反汇编算法:检查每一条指令,然后建立一个需要反汇编的地址列表, 阅读全文
posted @ 2016-09-02 19:58 隐念笎 阅读(1197) 评论(0) 推荐(0) 编辑
恶意代码功能与应对
摘要:五、恶意代码功能(一)恶意代码行为1、下载器和启动器下载器:通常会与漏洞利用打包在一起,通过调用URLDownloadtoFileA和WinExec两个api来实现下载并运行其他恶意代码启动器:通常为可执行文件,用来安装立即运行或将来秘密执行的恶意代码,通常包含一段它所运行的恶意代码2、后门:是攻击 阅读全文
posted @ 2016-02-16 18:39 隐念笎 阅读(3234) 评论(0) 推荐(0) 编辑
恶意代码分析——静态分析高级技术
摘要:三、静态分析高级技术********************************************************************************************************************************************... 阅读全文
posted @ 2015-09-26 00:28 隐念笎 阅读(3434) 评论(1) 推荐(0) 编辑
恶意代码分析——动、静态分析基础技术
摘要:一、静态分析基础技术1、可通过用软件计算恶意程序MD5值,然后检索该MD5值来获取信息并作为标签使用 【md5deep winmd5】2、通过检索恶意代码字符串获得相应的功能调用解释、功能行为及模块调用。当可检索字符串非常少时,有可能被加壳处理,(注意"LoadLibrary"和"GetProcAd... 阅读全文
posted @ 2015-09-26 00:22 隐念笎 阅读(6052) 评论(0) 推荐(0) 编辑
关于内核调试(Windbg)的虚拟机配置问题
摘要:注:本文配置环境为VMware® Workstation11.1.2 build-2780323+Windows xp SP2+Windbg 6.12.0002.63 x86*在win7以后的操作系统中配置会略有不同,会在最后进行补充一、虚拟机端配置:1、打开虚拟机系统,在c盘根目录下找到boot.... 阅读全文
posted @ 2015-09-13 14:04 隐念笎 阅读(906) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示