ATree的博客

今天重新安装了VMware Workstation Pro 14，由于之前老师说12.57的版本已经有病毒可以虚拟机逃逸了，安装并不是很顺利，遇到了比较多的问题，为了让后来安装VMware Workstation Pro 14的同学一切顺利，我总结了以下的解决方案，我本机是Win 7 64位旗舰版，目测我同学的Win 10系统暂时没有遇到与Win 7相同的问题，所以Win 10的同学可以自求多福了

环境：Win 7 x86工具：OD调试器1、添加映像劫持在HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options下新建以调试进程为名的项，例如新建svchost.exe，然后在新建字符串并命名Debugger，填写为调试器.exe路径...

这篇我主要记录一些windbg的常用命令，在书中都可以找到这些知识点，就是记录下，防止自己在使用过程中有时记不起来自己想用的命令是什么。t(F11)--step intop(F10)--step overgu(shift+F11)--go up，执行到当前函数直到结束，返回到调用者g(F5)--go，恢复程序执行~命令可以列出所有线程使用-o参数调试某路径下进程...

      最近在逆向HR杀毒软件，感觉压力很大，但是还好有前人已经帮助我们探过路了，并且也有大佬分享了一些经验，让我们逆向分析起来可以不用踩那么多坑，这里我就简单的是记录下我在逆向过程中，发现自己的一些问题，帮助自己成长。      在OD使用过程中，为了能够快速断在指定解密代码处，我就在读写文件处下断，再逐步跟Call，发现等它打开指定文件的时候，很麻烦，而且要等很长时间，于是就觉得为什么...

如果你也遇到了如下问题，那么你可以尝试使用本Blog中提到的方法来尝试解决，因为我本身遇到这个问题，也弄了很久，不知道因为什么原因，最后在Stackoverflow中看到一位研究员说是版本导致的这个错误，cmdlet随着Win 10系统和Windows Serve系列的某些版本更新为最新的模块，所以在最新的操作系统版本上就不会出现这个问题，只有在旧版本的基础上会出现这个问题，也是有解决办法的，就是...

      背景：起初我在分析一个进程，然后将该进程运行起来以后，发现它有写注册表启动项的操作，于是就打算重启看看是否效果什么的，结果遇到了黑屏，就天真的以为虚拟机出问题了，就重新开了一台虚拟机重新运行改程序，发现我的虚拟机还是无法启动，于是我就更加对这个有兴趣了，每次研究这种程序时，都带着一种能够发现骚操作，0day的想法研究，真的是很有激情啊，可是现实是残酷的……我使用ctrl+shift...

最近在分析GandCrab_v5.0.3版本的勒索病毒，感觉可能每一版都藏一些新的技术吧，截止我发本篇文章之前，已经出现了v5.0.5版本，发布本篇文章主要是为了揭开勒索病毒使用各种猥琐技术的面纱，让更多人了解和学习到，我自己本身也是一直在学习，我的每一篇文章初衷都很简单，就是帮助大家更好的学习这方面的知识，这里我就简单的说下它里面用到的UAC Bypass方式。顺便说一下，这两种方式都是我已经验...

1、停止Windows Defender运行并删除其服务sc stop windefendsc delete windefend2、禁用与开启Windows Defenderset-mppreference -disablearchivescanning $true（禁用）set-mppreference -disablearchivescanning $false（开启）...

最近为了提高沙箱的反病毒能力，特意从卡饭论坛找了一批样本，因为我觉得只有把沙箱当成黑盒测试一样，才有可能发现各种问题，之前我提需求时也是这样，就用实际的样本来跑，跑完后就会发现有很多问题，只有不断提问题（需求）才能更加促进产品的迭代更新。在之前的测试中，我们沙箱对于勒索病毒来说，检出率是很可观的，但是这次我就发现有些问题，好像C#或者说是.Net写的这个病毒，并没有检出，于是就单个拿出来分析下，为...

自己在看到一些没见过的反调试技术时，感觉很好奇，不清楚时如何反调试的，但是还是会很努力的去弄懂它们，现在呢，我希望记录下我见过的一些反调试手段，这样后面大家如果碰到类似的反调试技术时，都会很容易理解这段恶意代码的作用了。1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数，来判断当前环境是否是Wine模拟器环境2、下图中的v3的...

关于yara规则我就不做多的介绍了，这篇文章只是记录一下它的简单使用方法，我曾经较长时间不使用时忘记了它的使用方法了，遂记录一下。yara官方下载链接：https://github.com/VirusTotal/yara/releasesyara官方文档说明：https://yara.readthedocs.io/en/v3.7.0/index.html在我图中看到的yara32.ex...

最近在看一个sample，很长时间没有看伪代码，突然感觉有些生疏了，但是这个样本用到了RSA-2048位密钥长度的算法，一下子就又想研究研究它了，之前没想过别人是如何知道这个sample是使用了什么算法，可能是通过比我用的高级的插件吧，我用PEID的附带插件扫描识别算法，但是具体多少位的加密密钥就识别不出来，所以为了搞清楚一些之前没有很明白的API，决定仔细查询下微软加密库相关的API。该AP...

之前并未接触过DDoS，也不是很了解这种攻击方式到底分了多少种，近日分析一个样本，发现是DDoS攻击工具，于是要求我去分析下使用的是什么攻击方式，我也很疑惑，他们讲的一些攻击方式我也没有听说过，也不了解，于是就赶紧趁机会百度，谷歌学习了一下，最后在知乎上找到了一些比较详细的说明吧，是知道创宇的官方公众号写的，我觉得他解释和说明的都很不错，于是就打算拿来学习一下，下次就不用找相关的资料那么麻烦了。作...

看了姜晔老师的反病毒视频，其中提到了这些流程，就记录下来，方便自己查阅。注入的流程如下：1、OpenProcess获得要注入进程的句柄2、VirtualAllocEx在远程进程中开辟出一段内存，长度为strlen（dllname）+13、WriteProcessMemory将Dll的名字写入第二步开辟出的内存中4、CreateRemoteThread将LoadLibraryA作为线程函数，参数为D...

主要是自己遇到了一个Linux样本，记录下从不熟悉到熟悉的过程，也可以帮助更多在逆向分析这条路上的人。Linux平台调试工具1、动静分析结合的跨平台工具-IDA2、无图形界面的调试神器-GDB3、Linux平台开源调试工具-radare2使用IDA远程调试1、Linux系统配置调试ELF文件环境，使用file命令查看elf文件类型，得知文件运行平台是32位2、拷贝I...