首页
论坛
课程
招聘
问答 企服 专栏 CTF 众测 排行榜 知识库 工具下载 看雪峰会 看雪20年 看雪商城 证书查询
  1. 专栏首页
  2. 标签

一个藏在正常程序下的C#木马样本分析

本文章只分析了木马加载的过程,不分析木马功能。背景护网期间一个朋友发给我的样本让我帮忙分析一下。ExeinfoPe查了一下是一个C#的程序,然后加了个混淆直接de4dot处理一下拉入dnspy,反编译之后看没发现什么http请求,启动函数运行了一个frmMain窗体,看了看 ...
情话布墨 评论
369 人阅读・2021-04-28 18:43

“白加黑”恶意程序样本分析

对于这次的样本分析是基于学习《恶意程序分析与高级对抗技术》课程中”白加黑”恶意程序分析章节的内容,复现攻击链以及其具体的功能。这一门课程是由姜晔讲师教授。“白加黑”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很 ...
APT_华生 评论
374 人阅读・2021-04-27 18:38

勒索病毒很可怕?!一招解决

三十六计,预防为上计
江民科技 评论
9934 人阅读・2021-04-27 11:16

默默无闻·恶意代码分析Lab9

本章节(OllyDbg)顺承第八章(动态调试),所以本章节以OllyDbg工具为主,IDA Pro工具为辅的形式进行分析;由于OllyDbg显示的更紧凑,但是IDA Pro显示的更好理解;所以我们整体截图一般使用OllyDbg视图,细节截图我们一般使用IDA Pro视图 工具说明 参照书籍:《恶意代码分析实战》; 文件来源:文件 ...
平头猿小哥 评论
714 人阅读・2021-04-22 11:38

默默无闻·恶意代码分析Lab10

本实验包括一个驱动程序和一个可执行文件。逆可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-1.exe,驱动程序是Lab10-01.sys。
平头猿小哥 评论
453 人阅读・2021-04-22 11:05

破解神秘代码“3582-490”之谜

前几天,小菜在协助一起蠕虫事件排查处置的过程中,意外发现了一起人工入侵事件,失陷主机惊现神秘代码“3582-490”......
深信服千里目 评论
25190 人阅读・2021-04-09 19:06

默默无闻·恶意代码分析第七章

这一章节还是比较重要的,总结了在逆向Windows恶意代码中可能遇到的形式,所以此贴以知识点总结为主。
平头猿小哥 评论
201 人阅读・2021-04-08 11:28

默默无闻·恶意代码分析Lab1

这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用本章描述的工具和技术来获取关于这些文件的信息;将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab1-1 这个实验使用 ...
平头猿小哥 评论
778 人阅读・2021-04-08 11:26

默默无闻·恶意代码分析Lab5

只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你的一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。
平头猿小哥 评论
474 人阅读・2021-04-08 11:26

默默无闻·恶意代码分析Lab6

在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码,拿到文件先用ExeInfo PE查壳
平头猿小哥 评论
405 人阅读・2021-04-08 11:26

小试牛刀·手动构建HelloWorld弹窗可执行文件

使用WinHex手动构建一个PE,新建一个空白txt文件,然后改exe后缀,直接拖进WinHex。因为是手动构造,所以就舍弃了DOS头下面的一堆垃圾数据了。
平头猿小哥 评论
652 人阅读・2021-04-08 11:23

小试牛刀·jmp指令跳转非代码节区初探

我们使用一个干净的PE文件,来查看一下例子。本期重点在于最后一个字段Characteristics
平头猿小哥 评论
506 人阅读・2021-04-08 11:18

什么是“护网行动”?看完你就懂了

近几年,随着大数据、物联网、云计算的飞速发展,网络攻击触手已经从企业逐渐伸向国家,国家关键信息基础设施建设也面临着无形威胁。我们应当未雨绸缪,厉兵秣马,化被动为主动。
星河Salaxy 评论
46371 人阅读・2021-04-01 16:39

分析实战读书笔记15_完结:C 与X64

对于C编写的程序,在分析时常常会不小心走入框架代码。因此学习如何识别C 框架代码是十分必要的。否则会花费大量精力在框架代码上。this指针在汇编代码中常以ECX进行存储。 使用了this指针的函数调用约定称为thiscall 2 ...
SSH山水画 评论
450 人阅读・2021-03-31 14:17

PEB结构:获取模块kernel32基址技术及原理分析

在学习《恶意代码分析实战》第19章shellcode分析时,提到了一个根据PEB结构搜索kernel32基址的方法。书中描述的很晦涩难懂,于是花了点时间详细了解了一下这个技术。整理成笔记方便日后查找。Windows是一个强大的操作系统。为了方便开发者,微软将进程中的每个线程都 ...
SSH山水画 评论
1145 人阅读・2021-03-29 15:03
©2000 - 2021 看雪学院 | 微信公众帐号:ikanxue | 关于我们 | 联系我们
Time: 0.420, SQL: 89 / 沪ICP备16048531号-1 / 沪公网安备 31011502006611号