恶意代码
关注
分享
扫一扫
qq_33528164
爱好共享,提倡互相帮助。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
LPK木马分析-01
序言 在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用. WinMain int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...原创 2019-05-02 20:16:27 · 531 阅读 · 0 评论 -
LPK木马分析-02
序言 接着上回的分析, 分析另外三个重要函数,这三个函数除了域名不一样, 没什么太大差别, 所以只分析一个即可. StartAddress 获取函数 v0 = LoadLibraryA("kernel32.dll"); GetProcAddress(v0, &ProcName); v1 = LoadLibraryA("kernel32.dll"); GetT...原创 2019-05-02 21:55:09 · 290 阅读 · 0 评论 -
LPK木马分析-03
序言 前面分析是主程序, 下面分析载荷, 将lpk.dll传播至每个含有exe文件夹中. 总览 BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) { BOOL result; // eax@9 if ( fdwReason == 1 ) { hModul...原创 2019-05-03 19:43:16 · 480 阅读 · 0 评论 -
锁机木马篇-01
锁机木马分析 序言 离开了CTF, 踏上了恶意代码分析这条不归路. 第一次分析, 拿了一个锁机木马, 非常简单, 主要是总结一下思路, 留给恶意代码分析的新手. 样本信息 md5: b030d1effac0bc3e0c7dcf89cc6f4960 sha1: 4da2ca78e5abd5703e4875112692f1672ddc4b41 名称: 锁机木马 功能: 修改账户密码, 但对文件不...原创 2019-04-24 13:19:29 · 1560 阅读 · 1 评论 -
某木马分析-01
序言 在吾爱破解论坛上面找的样本, 有的加了比较难点的壳. 无奈, 只能找一些没壳的或者简单壳的来分析. 这次分析的算是有点难度, 拭目以待. 总体分析 程序执行, 会释放一个EXE和DLL, 开启一个X6Remote的服务. 主程序 1.WinMain ... /* * 搜索Rstray.exe进程, Rstray.exe实际上是瑞星杀软的实时监控程序, 存在就创建一个线程, *...原创 2019-05-05 21:38:26 · 502 阅读 · 0 评论 -
某木马分析-02
序言 接着上回分析,这回分析释放出来的EXE文件. 功能 设置服务名对应的处理函数. 函数分析 0x401D00 GetModuleFileNameA(hModule, &Filename, 0x104u); //获取执行文件路径 v2 = CreateFileA(&Filename, GENERIC_READ, FILE_SHARE_READ, NULL, O...原创 2019-05-06 11:03:20 · 312 阅读 · 0 评论 -
Windbg 保存字体设置
序言 保存字体的设置,找了好久都没找到,在国外的某论坛找到了,翻译如下。 步骤 View->Option->Wrokspace Prompts 改为Always Ask 删除WorkSpace,所有的都删除 修改成你想要的字体 4.关闭Windbg,会弹出一个对话框,勾选,点击YES. ...原创 2019-05-26 21:16:19 · 1615 阅读 · 1 评论