windows服务是由三个组件构成的：服务应用，服务控制程序SCP，以及服务控制管理器SCM，当SCM启动一个服务进程时，该进程必须立即调用StartService...

调试分析.net程序，首选的工具就是dnspy，这是一款集静态分析与动态调试于一体的强大工具。   直接使用dnspy打开目标应用程序，界面上显示的信息告...

目前使用JS来执行恶意功能或者下载恶意组件的情况已经很平常了，所以这里介绍一下关于js的调试方法。   大部分的js脚本都是经过混淆或者加密的，静态分析的...

使用OD调试动态库时有两种打开方式，第一种比较简单，直接将dll文件拖入OD即可，OD自身会自动识别出来当前文件是动态库文件，然后启用loadll.exe来加载此动...

sys是驱动文件，相对于应用程序来说，它的调试难度稍微大一点，调试sys需要进行双机调试，而前提就是搭建双机调试的环境。   一、双机调试环境搭建 &nb...

有些样本并不是单独运行的，它在运行过程中可能会创建子进程来完成恶意功能，遇到这种情况，就需要进入子进程中进行调试。   如果父进程创建子进程时是以susp...

OD调试软件时，它每次只能跟一个线程，如果遇到的软件创建了很多线程，那么调试起来就比较麻烦了，本节介绍一下多线程的调试方法。   首先看一下线程创建的函数...

使用调试器对病毒进行分析在反病毒工作中扮演着十分重要的角色。调试器允许你查看任意内存地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序...

静态分析技术通常是研究恶意代码的第一步。静态分析指的是分析程序指令与结构来确定目标程序的功能的过程。在这个时候，病毒本身并不在运行状态。我们一般采用以下几种方式进行...

图解恶意样本分析的常用方法，你与安全专家的差距只有几篇文章。   文件识别 常见的可执行程序格式有PE，ELF，MACH-O等，不同的格式有不同的标志信息...

advapi32!AdjustTokenPrivileges 功能：启用或禁止指定访问令牌的特权。   函数原型： BOOL AdjustTokenPri...

User32!SendMessage 功能：将指定的消息发送到一个或多个窗口   函数原型： LRESULT WINAPI SendMessage( _I...

Advapi32!CryptAcquireContext 功能：获取有某个容器的CSP模块的指针   函数原型： BOOL WINAPI CryptAcq...

kernel32!DeviceIoControl 功能：直接发送控制代码到指定的设备驱动程序，使相应的移动设备以执行相应的操作。   函数原型： BOOL...

kernel32!GetThreadContext 功能：获取目标线程的上下文。   函数原型： BOOL GetThreadContext(HANDLE...

user32!AttachThreadInput 功能：把一个线程的输入消息连接到另外的线程   函数原型： BOOL WINAPI AttachThre...