yellow的博客

样本连接：https://www.virustotal.com/gui/file/f05c0989b3f10e921a6acc9c8b5d781bc4818b070cf4729bd422e673a5e6dd19/detection样本显著特征：打开www.openclose.ir网页详细分析：一、入口点处2次亦或解密二、在401000--41f000处释放代码，完善VB导入表，进入msvbvm60.ThunRTMain函数。其中发现一些字符串(VB导入函数没有贴)：三

1、注册表PendingFileRenameOperations键值，位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager，类型REG_MULTI_SZ(多字符串)，具体说明如下截图：2、BSOD，全称Blue Screen of Death，蓝屏死机，具体实现如下图：原文地址：https://...

分析样本是发现线程数量从一个莫名增加到了5个，在CreateThread、--beginthread处下断点，停在了CreateThread处，线程入口点地址很大，不像是用户代码。后来一步步调试发现：1、LoadLibraryW(L"wininet.dll")执行时会创建一个线程，注意下面2张图，线程窗口多了一个线程。2、HttpSendRequestW()调用创建了另外3个线...

OD调试恶意代码时经常会创建vsjitdebugger.exe子进程，如下图：看名字vsjitdebugger.exe是VisualStudio的just-in-time debuger，恶意代码和VisualStudio肯定没什么联系，为什么恶意代码会创建vsjitdebugger.exe子进程？这和Windows的异常处理机制有关。1、cpu执行程序汇编代码时，发现异常，会把异...

上次文章中shellcode解密出的pe文件，拖到PEView中又看了一遍，发现有导出表，只导出了一个函数，名字就叫_ReflectiveLoader@4，不是ida神奇，而是作者就是这样写的，这个样本的名字也应该叫做beacon.dll。如图：至于为什么按Ctrl+E，除了入口点函数和tls回调函数，导出函数也会显示？ida就是这么认为的，它认为导出函数也是入口点，不信的话找到一个系...

如图：在Windows XP系统中测试通过，图： 在Windows 10中好像不行，图： 软件作用：查看生成PE文件所用的何种编译器或者PE文件加壳类型，这个并不是经常性的准确，有时候普通的upx壳他都检测不到（估计是作者加了针对PEid的反查壳策略）。 还有一个v0.94版本的高版本的Windows系统上会假死，v0.95版本没有这个问题。...

PE(exe、dll)文件：MZZIP压缩文件：PKRAR压缩文件：Rar7Z压缩文件：7zace压缩格式：ACE最近爆出一个ace压缩格式的漏洞，UNACEV2.DLL的漏洞这个漏洞可以在用户不知情时在指定目录释放文件，遇到过得一个是在C:\Documents and Settings\Administrator\AppData\Roaming\Mic...

cuckoo分析大量样本时，手动复制pcap、report就会很繁琐。可以使用python脚本把我们关注的结果提取到新的目录中，并以md5命名。代码如下：#coding=utf-8import osimport jsonimport shutilroot_path='/home/cert/cuckoo-linux/storage/analyses/' #cuckoo的分析结果路...

分析PE文件时，在PE文件头中有一项表明该文件的创建时间，是从1970-1-1零点零分到当前时间系统所偏移的秒数时间：可以使用C语言的localtime( ) gmtime( )函数来得到对应的更直观的时间。还可以使用python来更快的获取更直观的时间：...