静态分析技术通常是研究恶意代码的第一步。静态分析指的是分析程序指令与结构来确定目标程序的功能的过程。在这个时候,病毒本身并不在运行状态。我们一般采用以下几种方式进行...
文件识别(第32课)
图解恶意样本分析的常用方法,你与安全专家的差距只有几篇文章。 文件识别 常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息...
API函数:其它(第31课)
advapi32!AdjustTokenPrivileges 功能:启用或禁止指定访问令牌的特权。 函数原型: BOOL AdjustTokenPri...
API函数:消息传递(第30课)
User32!SendMessage 功能:将指定的消息发送到一个或多个窗口 函数原型: LRESULT WINAPI SendMessage( _I...
API函数:加密与解密(第29课)
Advapi32!CryptAcquireContext 功能:获取有某个容器的CSP模块的指针 函数原型: BOOL WINAPI CryptAcq...
API函数:驱动类(第28课)
kernel32!DeviceIoControl 功能:直接发送控制代码到指定的设备驱动程序,使相应的移动设备以执行相应的操作。 函数原型: BOOL...
API函数:注入类(第27课)
kernel32!GetThreadContext 功能:获取目标线程的上下文。 函数原型: BOOL GetThreadContext(HANDLE...
API函数:进程线程类(第26课)
user32!AttachThreadInput 功能:把一个线程的输入消息连接到另外的线程 函数原型: BOOL WINAPI AttachThre...
API函数:注册表与服务类(第25课)
advapi32!CreateService 功能:创建一个服务对象,并将其添加到指定的服务控制管理器数据库 函数原型: SC_HANDLE Crea...
API函数:网络类(第24课)
ws2_32!socket 功能: 用于根据指定的地址族、数据类型和协议来分配一个套接口的描述字及其所用的资源。如果协议protocol未指定(等于0...
API函数:文件类(第23课)
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别API恶意样本分析。 kernel32!CreateFile...
虚拟机检测技术详解(第22课)
在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我...
虚拟化技术详解(第21课)
一、什么是虚拟化? 虚拟化(Virtualization)技术最早出现在 20 世纪 60 年代的 IBM 大型机系统,在70年代的 System 370 系列中逐...
什么是虚拟机?虚拟机简介(第20课)
首先来看一下整个虚拟机在物理机上的结构图: 每台虚拟机的组成要素:虚拟机的os,应用程序需要的各种包,应用程序。而每一台虚拟机都是在Hyperviso...
反调试技术总结(第19课)
使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了一些这样的API,应用程序可以通过调用这些API来探测自己是否正...
调试器原理(第18课)
DeBugger(调试器)是自从计算机诞生伊始就始终伴随着程序员的一个挚友,起初的调试器都是基于硬件直接实现的。 一、调试事件与调试循环 ...