- 博客(6)
- 收藏
- 关注
RSS订阅转载 学习笔记-GlobeImposter 勒索病毒分析
0x00前言 此样本是GlobeImposter勒索病毒早期版本,它会加密磁盘文件并篡改后缀名..doc。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。 分析工具:DIE、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name:lGGtcrugME.exe File Size:155 KB File ...
2019-09-06 19:30:00
874
转载 学习笔记-SSDT_HOOK
0x00SSDT: SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。 KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Ke...
2019-08-31 02:25:00
316
转载 学习笔记-Dll远程线程注入
测试环境系统:Windows 10 64bit 注入目标: Ps2模拟器 主要思路:1.使用进程PID打开进程,获得句柄 2.使用进程句柄申请内存空间 3.把dll路径写入内存 4.创建远程线程,调用LoadLibrary 5.释放收尾工作或者卸载dll 主要函数: 主要代码: 1 bool InjectDll(SIZE_T szPid) 2 { 3 ...
2019-08-30 15:12:00
243
转载 学习笔记-spo0lsv病毒分析
1.样本概况 1.1 样本信息 病毒名称:spo0lsv.exe(熊猫烧香) 所属家族:Worm MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 文件大小:30001bytes 壳信息:FSG 2.0 病毒行为:复制自身...
2019-03-19 17:02:00
558
转载 学习笔记-手写简单PE
环境工具:Windows 10 010Editor 目标程序功能: 调用MessageBoxA弹出消息框。 1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WOR...
2019-03-19 16:18:00
292
转载 学习笔记-Ramnit 蠕虫分析
0x00前言 Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。 分析工具:PEID、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name DesktopLayer.exe File Si...
2019-02-20 15:26:00
848
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人