有些软件是使用python,ruby等语言写的,如果没有特定的环境的话就无法运行,为了便于部署,就出现了一些工具,将脚本源码编译成可执行文件,编译后的文件就可以脱离...
恶意样本分析手册
恶意样本分析手册
恶意样本分析手册
固件格式(第16课)
对于路由器固件的格式和前面所说的PE文件格式大不相同,下面通过几个小工具对固件的解析结果来对其格式进行说明。 首先使用file命令来查看一下它的文件类...
恶意样本分析手册
资源段(第15课)
有些恶意样本会将它所需要的工具之类的文件隐藏在资源段中,然后在运行的时候将其释放出来。一种是申请内存,将所需要的工具释放到内存中,也就是所说的无文件运行,通过这种方...
恶意样本分析手册
加壳器综述(第14课)
加壳可执行文件的两个主要目的是缩小程序的大小,阻碍对加壳程序的探测和分析。虽然加壳程序的种类繁多,但它们都遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件...
恶意样本分析手册
动态调试工具(第13课)
主要给大家讲一下动态调试工具有哪些?以及动态调试工具:OllyDbg、WinDbg、Dnspy简单使用教程。 一、OllyDbg Ollydbg是一款...
恶意样本分析手册
静态调试与工具(第12课)
近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式...
恶意样本分析手册
行为监控软件:ProcessMonitor与Wireshark(第11课)
一、ProcessMonitor Process Monitor 是一款非常著名的系统进程监视软件,用户可以利用 Process Monitor 对系...
恶意样本分析手册
二进制文件编辑(第10课)
一、010Edit 010Edit是一款非常强大的文本/十六进制编辑器,除了文本/十六进制编辑外,还包括文件解析器,计算器,文件比较等功能。但它的真正的强大的地方在...
恶意样本分析手册
文件检测(第9课)
近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式...
恶意样本分析手册
调试器的原理(第8课)
本文介绍的原理以大家所熟知的OllyDbg为例进行讲解。 Ollydbg的断点功能是基于异常处理来实现的,通过捕获程序执行过程中的异常信息来中断程序的...
恶意样本分析手册
断点(第7课)
1、软件断点 x86系列处理器从其第一代英特尔8086开始就提供了一条专门用来支持调试的指令,即INT3。简单的说,这条指令的目的就是使CPU中断(break)到调...
恶意样本分析手册
Hook与RootKit(第6课)
1、使用注册表来注入DLL 在注册表路径HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersio...
恶意样本分析手册
Windows内核加载器(第5课)
在Windows NT/XP/2003系统中,Windows内核加载器指的是NTLDR文件,而在Vista/Windows 7中,指的是bootmgr文件。这里主要...
恶意样本分析手册
文件格式(第4课)
1、ELF文件格式 目标文件有三种类型: 可重定位文件( Relocatable File) 包含适合于与其他目标文件链接来创建可执行文件或者共享目标文件的代码...
恶意样本分析手册
编程语言(第3课)
1、逻辑运算 逻辑运算又称为布尔运算。通常用来测试真假值,最常见到的逻辑运算就是循环的处理,用来判断是否该离开循环或继续执行循环内的指令。 逻辑常量只有两个,0和1...
恶意样本分析手册
数制/进制(第2课)
进制也就是进位制,是人们规定的一种进位方法。 对于任何一种进制—X进制,就表示某一位置上的数运算时是逢X进一位。 十进制是逢十进一,十六进制是逢十六进一,二进制就是...