汇编
关注
分享
扫一扫
basketwill
愿意为中国软件的发展作出一番贡献
展开
-
一个邮件钓鱼木马的分析 (一)
已发表于本人专栏: http://www.freebuf.com/column/142406.html最近收到一个钓鱼木马邮件,内容形式如下: 邮件里有个链接,当点开链接后会下载一个doc文档,打开文档会发现有宏代码 经过一些列解密后悔执行shell执行宏命令,打印出这个信息出来后发现,原来执行了powershell命令 是从网原创 2017-07-31 09:18:40 · 15247 阅读 · 0 评论 -
细说Wannacry勒索软件所使用的木马技术
已经发表于freebuf: ( http://www.freebuf.com/column/134855.html)5月12日晚突然爆发的Wannacry勒索病毒给人们也给各大安全厂商一个措手不及,360追日团队也第一时间给出了完整的木马分析,结合我自己的逆向以及分析我们来细说Wanncry使用了哪些木马技术。 1. 资源释放文件这个技术最早始于root原创 2017-05-22 16:39:53 · 1869 阅读 · 0 评论 -
Wannacry之t.wnry核心库解密算法完全分析
已经发布于freebuf : http://www.freebuf.com/column/135103.html Wannacry机理很多安全厂商都已经分析透了,他的加密核心功能就在他释放的t.wrny这个文件里,这个文件实际上是个动态链接库,是被Wanncry通过他自己的RSA+AES加密存放的,Wannacry在释放的时候会先读取到内存,然后通过RSA还原AES的key密码,最后原创 2017-05-22 16:37:23 · 1122 阅读 · 0 评论 -
Windows资源监视器软件的原理
微软给我们提供了一些很好的程序,比如资源监视器,可以从这个软件里获取分析windows的自身的一些性能数据,比如CPU、内存、磁盘数据、文件读写、进程线程等,他具体怎么实现呢,今天这天文章就带你去获取其真实的原理。原创 2017-06-17 11:59:13 · 1373 阅读 · 0 评论 -
通过Hook技术对浏览器HTTPS劫持
https 浏览器 ssl https劫持原创 2017-04-14 12:23:32 · 3981 阅读 · 4 评论 -
360极速浏览器和360chrome首页设置加密算法
freebuf 已经发布该文章(http://www.freebuf.com/articles/terminal/128902.html) 如今浏览器经常会面临被其他软件劫持主页的风险,浏览器该如何自保呢。今天给出360浏览器的主页设置算法一些分析。360浏览器设置主页大致有两次计算机器码:一次是磁盘id,一次是计算网卡mac地址。两种md5计算方法,两原创 2017-04-14 12:18:42 · 2501 阅读 · 0 评论 -
chrome配置文件校验初始化隐含参数的逆向
这篇文章接上一篇文章进一步升华:花了4个小时获得该信息的计算方式比如在 chrome目录下的\Chrome\User Data\Default目录下的Secure Preferences,需要设置"startup_urls":["http://www.baidu.com/"]改参数时,chrome会在该文件中生成"startup_urls":"651507D384340BD7A56E3D3D7原创 2015-08-17 17:55:47 · 3435 阅读 · 8 评论 -
360安全浏览器和360chrome 首页设置加密算法(逆向所得)
(为了避免被360公司的法律问题,该不能写的很详细)360首页设置函数01D29F17 56 PUSH ESI01D29F18 53 PUSH EBX01D29F19 57 PUSH EDI01D29F1A E8 617AF2FF CALL chrome.0原创 2015-07-14 14:59:03 · 4283 阅读 · 4 评论 -
chrome的配置文件加密校验的hash算法(逆向所得)
chrome的代码开源的,但是代码量有2g,懒得看,经过一个多星期的逆向获得了其加密校验配置文件的算法: 有四、五轮的 sha256非标准的加密算法,下面是我的逆向的代码调试与程序调试的对比第一轮:hash 第二轮:hash第三轮 hash第四轮:hash第五轮 也就是最后一轮:输出原创 2015-08-14 16:13:54 · 4919 阅读 · 7 评论 -
一个外挂的简单分析
上周末突然有个外挂,逃过了反挂检测,竟然是全图外挂,通过IDA分析发现 一个virtualQuery函数, 于是在od中加载,算了一下该函数相对模块首地址的位置断下该函数,相对基址的偏移为0xB55E,于是断下 发现只要打勾,反复循环间隔500ms 都会走此函数,于是判断改地址是 外挂修改游戏的信息的函数 继续推测:通过windbg:来断下改地址,通原创 2011-03-22 12:07:00 · 1120 阅读 · 0 评论 -
madcHook的dll逆向简说
madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是原创 2010-11-11 21:41:00 · 1479 阅读 · 0 评论 -
逆向分析破解一款会务管理软件
声明:请支持使用正版软件,尊重原作者的劳动成果,此文只做技术交流,如有他人利用,产生后果,不负任何责任。 最近破解一款会务管理软件,用PEid侦查外壳,发现是是穿山甲的 外壳, 但是还是无法显示出完整的信息出来可以发现 Upx0,UPX1的节段,说明,加了双层外壳,还有一层UPX的压缩壳,首先用OD打开这个软件原创 2011-04-06 16:11:00 · 3199 阅读 · 0 评论 -
windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360 hook)
我们先看下hook kiFastCallentry 点的汇编代码: winXp: FF05 38060000 inc dword ptr [638]80542656 8BF2 mov esi, edx80542658 8B5F 0C mov ebx, dword ptr [edi+C]8054265B 33C9 xor ecx,原创 2011-10-05 12:29:28 · 2106 阅读 · 0 评论 -
一个钓鱼木马的分析(二)
这个木马隐蔽性很强,内存中不存在任何明文字符串,很难用内存搜索去搜索一些明显字符串,内存的数据都是加密存在需要时才解密,然后立即释放,不会长期驻留在内存,所有的内容计算校验使用的是hash值来对比查找,而且还是用双重加密,给分析人员增加了不小的难度, 上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。原创 2017-08-07 09:18:55 · 1103 阅读 · 0 评论