LoopherBear的博客

简单的定时DDOS攻击样本分析本次分析的样本来自《恶意软件分析》课后实验–Lab-7-01中的程序，将样本载入到DIE内查壳，如下程序无壳，使用的VC++6.0编写，看到编译时间为2010/09/30说明这个样本已经很老很老了。将样本载入到IDA内分析相关功能，来到入口函数Main出，程序首先调用了StartServiceCtrlDispatcherA启动了一个名为MalService的服务，接着服务会执行函数sub_401040,启动完成服务后，会再次调用函数sub_401040,如下下面开

Pe文件静态分析能够获取到哪些信息在分析一个样本之前，通常会需要静态分析，如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解，例如是是否被加壳了（虽然可以用查壳工具，但是还是需要知道一些原理），文件时图形化界面(GUI)还是命令执行程序（CUI)等信息的提取和掌握，分析时才会更清晰要做什么，做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...

GDB Hacks – i386参数入参顺序在i386CPU中调用函数时，参数的传递顺序是什么？类似函数中括号内的参数一样，从左到右依次入栈还是从右到左入栈。将通过gdb的方式来观察参数的传递过程。如下例子使用编译命令编译gcc -g func_param.c使用gdb调试运行，观察参数入参顺序。Tips在使用gdb的break命令时，如果指定函数名的方式下断点break ma...

GDB Hacks读书笔记 第二章–调试前的必会知识__必需的栈知识-x86这部分知识点的理解对于后续调试程序由很大的影响。每个函数自身的栈以及调用者和被调用者之间的栈关系，函数调用时参数传递规则，被调用函数内部变量是如何分配的等。环境使用32位虚拟机ubuntu 14.04 32bit gcc 4.8.4使用的函数使用如下命令编译gcc -g fun_.c栈在调试时...

Ubuntu 14.04dependenciesYou need installed sctp libs.sudo apt-get install libsctp-devsudo apt-get install lksctp-toolsbuild test:gcc sctp_server.c -lm -lsctp -o serverreference:https://www.2ct...

GDB分析数组索引错误导致Segmentation fault最近学习gdb调试的知识，使用gdb调试core文件分析C语言数组索引错误所引发的segmentation fault原因。分析前准备设置core dump的大小。默认的core dump大小是0字节，也就是出现了segmentation fault是看不到Core转储文件的。查看core默认大小ulimit -c修改c...