学习笔记
关注
分享
扫一扫
文章平均质量分 91
FFE5
学会积累是变强的开始,我就是只小菜鸡
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
编写一个简易调试器
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加:while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf原创 2021-05-17 17:57:29 · 2394 阅读 · 1 评论 -
HEVD之栈溢出
自学习CVE-2017-11882漏洞后,便开始希望学习更多的漏洞,提高一下对漏洞的理解。在github上找到一个很好的项目,基本涵盖了所有漏洞(https://github.com/hacksysteam/HackSysExtremeVulnerableDriver)。下载下来后,执行过后得到驱动文件HEVD.sys,以及漏洞利用程序HackSysEVDExploit.exe,然后开启双...原创 2020-05-15 19:09:14 · 1111 阅读 · 0 评论 -
脱ZP壳笔记
遇到一个较难的壳,记录一下。样本HASH:1B9FD1D77A106CADF8485B03F44B7668到达OEP,查看有没有抽取代码随便跟进一个call,看到jmp到一个堆地址里面,说明是有抽取代码的,那就修改一下文件,但这壳有文件校验,那么先过一下文件校验。过文件校验,先增加区段运行,发现崩了,文件校验的原因,过它。。。打开文件,OD载入,下断 bp Ma...原创 2019-12-10 11:18:31 · 890 阅读 · 0 评论 -
宏病毒(2)
样本HASH:AB74EE2373229626FE368A83D98F2A47扫下VT,可以看到有45家报毒了。微步在线查一波,看下报告。执行流程现在来打开样本,日常宏警告。这次用个工具,把宏弄出来。先用olevba看下大体情况。+----------+--------------------+----------------------------...原创 2019-12-09 17:18:19 · 682 阅读 · 0 评论 -
宏病毒(1)
样本HASH:02BA9703D1F250B411EA4C868D17FD2E先打开样本,发现是老版的宏警告。然后点击启用宏,ALT+F11查看宏代码(打开之前可以按住shift,防止一切宏运行,但很多时候不好使),然后找到宏开始的地方,然后开始调试。CTRL+F8运行到光标处,然后F8开始单步。Sub userNaveLoadr() Dim path_Nave...原创 2019-12-09 15:08:36 · 716 阅读 · 0 评论 -
怎么调试有Hook的DLL样本
样本hash:5BBEFA25D955C4C5737A8C665AE48F1A该样本VT和微步在线都能得到,属于parite家族,使用了多态变形技术进行躲避传统杀毒软件的特征码查杀。查壳发现有UPX壳,这个样本让我比较新奇的是,在你脱壳的时候就将恶意行为做完了,以开启全局钩子的方式将恶意DLL文件注入到多个进程,在注入DLL对进程进行判断,如果不是explorer则退出,并开启线程,对计算机中...原创 2019-11-16 17:55:13 · 484 阅读 · 0 评论 -
记一个宏病毒样本
在未知的道路上越来越菜——2019.10.18拿到一个新样本,却连最基本的宏病毒都没分析清楚,是真的菜,首先,分析要有一个方向,方向错了,便会浪费很多时间,而从事安全这个行业,时间是异常宝贵的。所以,感觉自己需要写一篇博客来提醒自己......1、提取宏首先这是一个宏病毒,多的不说,如果不想观察宏病毒的动态行为,就没必要打开宏病毒,用工具提取。前提是你得先装工具。然后查看宏,心...原创 2019-12-09 10:55:08 · 2576 阅读 · 5 评论