JiangBuLiu的博客

恶意代码分析绿盟-李东宏老师恶意样本分析手册《理论篇》《API函数篇》常用方法篇《特殊方法篇》《通讯篇》《溯源篇》《文件封装篇》《工具篇》《上》《下》《反调试篇》《上》《下》《虚拟机检测篇》《上》《下》逆向心法修炼《FLARE-ONCHALLENGE4TH》[《FLARE-ON 5TH WRITEUP》](http://blog.nsfocus.net/flare-on-5th-writeup/)绿盟-李东宏老师恶意样本分析手册《理论篇》《API函数篇》常用方法篇《特殊方法篇》《通讯篇》《溯

内核调试环境VMWare虚拟机（Win7）WindbgVirtualKD-Redux环境VMWare虚拟机（Win7）WindbgVirtualKD-Redux串行端口

MiraiMirai变种资料源码Mirai源码[《xd0ol1 - Mirai 源码分析》](https://paper.seebug.org/142/)[《绿盟 - MIRAI源码分析报告》](http://blog.nsfocus.net/mirai-source-analysis-report/)分析报告分析查壳脱壳分析int 80HKiller模块has_exe_accessMirai虽然Mirai很老了，但是类似学Windows病毒分析拿熊猫烧香练手一样，Linux病毒不逆个Mirai感觉不太

调试分析的一些记录调试脚本去混淆PowerShell调试脚本去混淆PowerShell《光通天下 - 针对越南APT攻击样本深度分析》的“TKCT quy I nam 2019.doc.lnk”：去掉“iex”这几个字符，powerhell运行指令格式：文件名（原） >> New.txt（新）如果报错PowerShell因为在此系统中禁止执行脚本，解决方法：set-ExecutionPolicy RemoteSigned...

文件头从Ultra－edit-32中提取出来的JPEG (jpg)，文件头：FFD8FF PNG (png)，文件头：89504E47 GIF (gif)，文件头：47494638 TIFF (tif)，文件头：49492A00 Windows Bitmap (bmp)，文件头：424D CAD (dwg)，文件头：41433130 Adobe Photoshop (psd)，文件头：38425053 Rich Text Format (rtf)，文件头：7B5C727466 XML (

样本编译方式CPython南邮Py.pycCPython支持所有Python版本的Pyc反编译工具（在线）或者下载pyc的反编译工具uncompyle6南邮Py.pyc反编译后的源码为：import base64def encode(message): s = '' for i in message: x = ord(i) ^ 32 x = x + 16 s += chr(x) return base64.b64en

样本分析投递手法 - 钓鱼邮件+恶意附件压缩包通过钓鱼邮件投递针对俄罗斯，以失物认领为主题的武器化PPSX格式的附件，诱骗收件人下载打开，打开后会执行JS脚本“MicrosoftPowerPoint.js”，释放并执行PE文件。执行流程样本详细分析钓鱼邮件恶意附件PPSX由于PPSX格式的攻击载荷比较少见，此处简单介绍一下该格式与PPTX格式的区别：PPTX：普通可编辑模式。打开后呈现的页面就是可编辑的页面，要播放需要单击播放按钮才能全屏播放。PPSX：放映格式。打开后直接就是全屏放映，没法

样本分析投递手法通过钓鱼邮件投递以IT从业者简历为主题的可执行文件，该文件通过长文件名+WORD图标的方式，伪装为文档诱骗收件人下载打开。执行流程样本详细分析该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件，执行对应功能，如截图，下载文件，执行Shell代码等。执行Timer后根据执行结果，杀死以及设置/新建Timer控制逻辑，下文不再赘述：Time1释放掩饰文档首先被执行的是Time1，用来释放掩饰文档以及进入Button2控件的响应事件

Trickbot描述Trickbot是2016年出现的一种网银木马，它以大银行的客户为目标，窃取他们的信息。自出现以来，新的变体不断出现，每次都有新的技巧和模块更新。Trickbot是一种模块化恶意软件，包括针对其恶意活动的不同模块。主要功能包括从浏览器中窃取数据、从Microsoft Outlook窃取数据、锁定受害者的计算机、系统信息收集、网络信息收集和域凭据窃取等模块等.由于此家族出现至今已四年，公开的报告众多，此处不多描述初始载荷，以调试分析Trickbot功能载荷（本次分析的是1000511

流程为：宏代码释放的dll→exe加载的.dll（常见的白加黑）→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地宏代码释放Dll1，并执行其导出函数Dll1有80+MB没法跟：宏代码执行Dll1的导出函数后，通过动态可以看到，最后会释放白加黑的exe和dll，所以基本不跟。白加黑的Dll2执行后通过VirtualAlloc申请一段内存空间，然后写入将要执行的ShellCode1。首先在VirtualAlloc下断点，bp VirtualAlloc：然后

Gamaredon样本分析一级标题二级标题一级标题内容二级标题内容

IDA脚本MakeNameEXIDA官方链接实际运用MakeNameEXMakeNameEx(long ea, string name, long flags=SN_CHECK);ea - linear addressname - new name of address. If name == "", then delete old nameflags - combination of SN_... constants解释：MakeNameEx(函数地址,“函数名称”,函数flags);示例

遇到代码v1 = *(_DWORD *)(__readfsdword(0x18) + 4)偏移内容0x0SEH链表指针0x4线程堆栈顶部（地址最小）0x8线程堆栈底部（地址最大）0xCSubSystemTib0x10FiberData0x14ArbitraryUserPointer0x18FS段寄存器在内存中的镜像0x2...

资料收集与网络（点击对应标题有原帖地址）PE怎么判断PE是DLL,还是EXE文件值属性加载基址怎么判断PE文件是32位还是64位PE加载过程基础Windows下的调用约定通用寄存器有哪些？段存器怎么找到函数地址调试与反调试INT3INT 3 指令Intel的手册INT 3 中断调试处理流程Windows反调试有哪些?反调试技术总结一、探测Windows调试器1.使用Windows API2.手动检...

资料收集与网络（点击对应标题有原帖地址）特征码什么是特征码[病毒特征码查杀之基本原理 - 怎么提取特征码](https://blog.youkuaiyun.com/ioio_jy/article/details/51198544)1、计算校验和2、提取特征字符串特征码什么是特征码程序运行时,在内存中为完成特定的动作,要有特殊的指令,一个程序在运行时,同一内存地址的指令是相同的同一个程序中,一段连续的地址...