恶意样本分析手册 服务程序调试(第41课) windows服务是由三个组件构成的:服务应用,服务控制程序SCP,以及服务控制管理器SCM,当SCM启动一个服务进程时,该进程必须立即调用StartService... 2021年06月23日 阅读 263 °C 发表评论 阅读全文
恶意样本分析手册 .net调试(第40课) 调试分析.net程序,首选的工具就是dnspy,这是一款集静态分析与动态调试于一体的强大工具。 直接使用dnspy打开目标应用程序,界面上显示的信息告... 2021年06月23日 阅读 201 °C 发表评论 阅读全文
恶意样本分析手册 JS调试(第39课) 目前使用JS来执行恶意功能或者下载恶意组件的情况已经很平常了,所以这里介绍一下关于js的调试方法。 大部分的js脚本都是经过混淆或者加密的,静态分析的... 2021年06月23日 阅读 124 °C 发表评论 阅读全文
恶意样本分析手册 DLL调试(第38课) 使用OD调试动态库时有两种打开方式,第一种比较简单,直接将dll文件拖入OD即可,OD自身会自动识别出来当前文件是动态库文件,然后启用loadll.exe来加载此动... 2021年06月23日 阅读 502 °C 发表评论 阅读全文
恶意样本分析手册 SYS调试(第37课) sys是驱动文件,相对于应用程序来说,它的调试难度稍微大一点,调试sys需要进行双机调试,而前提就是搭建双机调试的环境。 一、双机调试环境搭建 &nb... 2021年06月23日 阅读 401 °C 发表评论 阅读全文
恶意样本分析手册 调试子进程(第36课) 有些样本并不是单独运行的,它在运行过程中可能会创建子进程来完成恶意功能,遇到这种情况,就需要进入子进程中进行调试。 如果父进程创建子进程时是以susp... 2021年06月23日 阅读 148 °C 发表评论 阅读全文
恶意样本分析手册 多线程调试(第35课) OD调试软件时,它每次只能跟一个线程,如果遇到的软件创建了很多线程,那么调试起来就比较麻烦了,本节介绍一下多线程的调试方法。 首先看一下线程创建的函数... 2021年06月21日 阅读 227 °C 发表评论 阅读全文
恶意样本分析手册 动态调试(第34课) 使用调试器对病毒进行分析在反病毒工作中扮演着十分重要的角色。调试器允许你查看任意内存地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序... 2021年06月21日 阅读 279 °C 发表评论 阅读全文
恶意样本分析手册 静态调试(第33课) 静态分析技术通常是研究恶意代码的第一步。静态分析指的是分析程序指令与结构来确定目标程序的功能的过程。在这个时候,病毒本身并不在运行状态。我们一般采用以下几种方式进行... 2021年06月20日 阅读 229 °C 发表评论 阅读全文
恶意样本分析手册 文件识别(第32课) 图解恶意样本分析的常用方法,你与安全专家的差距只有几篇文章。 文件识别 常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息... 2021年06月20日 阅读 102 °C 发表评论 阅读全文
恶意样本分析手册 API函数:其它(第31课) advapi32!AdjustTokenPrivileges 功能:启用或禁止指定访问令牌的特权。 函数原型: BOOL AdjustTokenPri... 2021年06月20日 阅读 157 °C 发表评论 阅读全文
恶意样本分析手册 API函数:消息传递(第30课) User32!SendMessage 功能:将指定的消息发送到一个或多个窗口 函数原型: LRESULT WINAPI SendMessage( _I... 2021年06月20日 阅读 118 °C 发表评论 阅读全文
恶意样本分析手册 API函数:加密与解密(第29课) Advapi32!CryptAcquireContext 功能:获取有某个容器的CSP模块的指针 函数原型: BOOL WINAPI CryptAcq... 2021年06月20日 阅读 272 °C 发表评论 阅读全文
恶意样本分析手册 API函数:驱动类(第28课) kernel32!DeviceIoControl 功能:直接发送控制代码到指定的设备驱动程序,使相应的移动设备以执行相应的操作。 函数原型: BOOL... 2021年06月19日 阅读 166 °C 发表评论 阅读全文
恶意样本分析手册 API函数:注入类(第27课) kernel32!GetThreadContext 功能:获取目标线程的上下文。 函数原型: BOOL GetThreadContext(HANDLE... 2021年06月19日 阅读 150 °C 发表评论 阅读全文
恶意样本分析手册 API函数:进程线程类(第26课) user32!AttachThreadInput 功能:把一个线程的输入消息连接到另外的线程 函数原型: BOOL WINAPI AttachThre... 2021年06月19日 阅读 175 °C 发表评论 阅读全文