BetaBin

开始着手漏洞学习，发现了一个自己常犯的危险行为，用strcpy函数去拷贝没有先验证。看如下代码：#include #include void sayHello(char * str){ char buffer[8]; strcpy(buffer, str); printf("Hello %s\n", buffer);}int main(int argc, char*

既然谈得是虚拟机的启发式扫描反病毒技术，那么就该介绍下虚拟机、启发式扫描的概念。虚拟机（VM），在反病毒界被称为通用解密器。具体做法是：用程序代码虚拟一个CPU来，同样也虚拟CPU的各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入被调的样本，将每一条语句放到虚拟环境中执行，这样就可以通过内存和寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。虚拟机作为原操作系统下

（对这曾被称为神一般的杀软有很大的好奇，无奈能力有限，暂时只能看官方文章了解下。）Kaspersky anti-virus engine technology（文章就不帖资源了，直接Google就能找到了）大致介绍了三大块内容：反病毒引擎的好坏判断、卡巴反病毒的主要技术、卡巴新版本引擎5.012的新技术。开头部分，大概介绍了下反病毒引擎，就是反病毒产品的核心，一个用来发现和处理恶意代码的模

在开始调用驱动杀杀软的时候，有如下代码。前面的GetInputState，然后再PostThreadMessageA还有PeekMessageA是用来隐藏初始化，后面的CreatEventA可以用来当做互斥变量。一、关于GetInputState、PostThreadMessageA还有PeekMessageA三个函数作用，GetInputState（http://msdn.microsoft

/*原来我一直用的是Camel标记法……收藏学习了。转载自：http://blog.youkuaiyun.com/lxmuyu/article/details/7235240*/为了代码清晰易懂，通常变量名采用一些著名的命名规则，主要有Camel标记法，Pastal标记法和匈牙利标记法。      Camel标记法采用首字母小写，接下来的单词都以大写字母开头的方法，如m

学着分析一个老样本的时候，发现了这个段anti-debug函数，鉴于WinSDK掌握不足，所以就慢慢分析了下。概述：1、简单分析了这个anti-debug的流程；2、介绍下用到的Win函数，其中重点是如何获取运行中进程snapshot。一、这个anti-debug非常老，如今OD的一堆插件绝对可以秒杀掉。只是简单的调用了"IsDebuggerPresent"函数，判断父进程，还有遍历所有进

嗯，最近天气变幻无常……最开始时源于想知道下NC的-e选项是怎么实现的，搜商有限，找到源码都不支持-e……然后就搜到了windows管道方面的知识：微软msdn里面有提到“Creating a Child Process with Redirected Input and Output”（http://msdn.microsoft.com/en-us/library/win

转载自：http://www.leadfrenzy.net/comments.php?y=10&m=08&entry=entry100819-164418存档之用。其实我也觉得这个检测不足太多了，限制条件比较苛刻的感觉……############################原标题：Goodware drugs for malware: on-the-fly malware