恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题: 谁发动的攻击?攻击背景是什么? 攻击的意图是什么? 谁编写的样本? 样...
什么是网络攻击链?一文了解攻击链(第48课)
本篇是样本分析手册的最终篇章,前面的几大篇章主要侧重于基础调试技巧和样本分析方法,而溯源篇是在掌握之前技能的基础上,进行能力进一步提升,可以说掌握了常规的溯源方法,...
网络通讯(第47课)
传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通 讯,在此基础上还有利用 HTTP/HTTPS,IRC,P2P 等其他应用层协议 来进行通讯的。一般...
消息处理调试(第46课)
Windows程序和MFC程序是靠消息驱动的,他们对于消息的处理本质上是相同的。只是Windows程序对于消息处理的过程十分清晰明了,MFC程序则掩盖了消息处理的过...
windbg调试.NET教程(第45课)
对于.net程序的调试,首选的工具还是建议使用Reflector或者dnspy,这两款工具结合了静态反编译和动态调试两项功能。如果样本没有进行混淆的话,可以使用这两...
TLS调试(第44课)
TLS的全称是Thread Local Storage,是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单的由操作系统代为完成整个...
远程线程调试(第43课)
远程线程是攻击者常用的手法,通过这种方式,可以达到隐藏自身的目的,也可以注入代码或者动态库。 攻击者如果使用远程线程进行注入,肯定会在目标进程中写代码...
进程间通信调试(第42课)
随着人们对应用程序的要求越来越高,单进程应用在许多场合已不能满足人们的要求,编写多进程/多线程程序成为现代程序设计的一个重要特点,恶意软件也跟随时代的脚步,通过多进...
服务程序调试(第41课)
windows服务是由三个组件构成的:服务应用,服务控制程序SCP,以及服务控制管理器SCM,当SCM启动一个服务进程时,该进程必须立即调用StartService...
.net调试(第40课)
调试分析.net程序,首选的工具就是dnspy,这是一款集静态分析与动态调试于一体的强大工具。 直接使用dnspy打开目标应用程序,界面上显示的信息告...
JS调试(第39课)
目前使用JS来执行恶意功能或者下载恶意组件的情况已经很平常了,所以这里介绍一下关于js的调试方法。 大部分的js脚本都是经过混淆或者加密的,静态分析的...
DLL调试(第38课)
使用OD调试动态库时有两种打开方式,第一种比较简单,直接将dll文件拖入OD即可,OD自身会自动识别出来当前文件是动态库文件,然后启用loadll.exe来加载此动...
SYS调试(第37课)
sys是驱动文件,相对于应用程序来说,它的调试难度稍微大一点,调试sys需要进行双机调试,而前提就是搭建双机调试的环境。 一、双机调试环境搭建 &nb...
调试子进程(第36课)
有些样本并不是单独运行的,它在运行过程中可能会创建子进程来完成恶意功能,遇到这种情况,就需要进入子进程中进行调试。 如果父进程创建子进程时是以susp...
多线程调试(第35课)
OD调试软件时,它每次只能跟一个线程,如果遇到的软件创建了很多线程,那么调试起来就比较麻烦了,本节介绍一下多线程的调试方法。 首先看一下线程创建的函数...
动态调试(第34课)
使用调试器对病毒进行分析在反病毒工作中扮演着十分重要的角色。调试器允许你查看任意内存地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序...