2018/11/08-偵錯程式-《惡意程式碼分析實戰》
偵錯程式是用來檢測或測試其他程式執行的以來軟體或硬體。由於剛完成的程式包含錯誤,因此偵錯程式在軟體開發過程中可以大顯身手。偵錯程式讓你能夠洞察程式在執行過程中做了什麼。偵錯程式的目的是允許開發者監控程式的內部狀態和執行。
從偵錯程式獲得程式的資訊可能比較困難,但並不意味著不可能,可以從反彙編器中獲得所需資訊。反彙編會在程式執行第一條指令前,立即提供程式的快照。當程式執行時,偵錯程式的目的是允許開發者監控程式的內部狀態和執行。
偵錯程式監控程式執行的能力在惡意程式碼分析過程中扮演著十分重要的角色。偵錯程式允許你檢視任意地址的內容、暫存器的內容以及每個函式的引數。偵錯程式也允許你在任意時刻改變關於程式執行的任何東西。例如,你可以在任意時刻改變任意一個變數的值——前提條件是你需要獲得關於這個變數的足夠資訊,包括在記憶體中的位置。
相關推薦
2018/11/08-偵錯程式-《惡意程式碼分析實戰》
偵錯程式是用來檢測或測試其他程式執行的以來軟體或硬體。由於剛完成的程式包含錯誤,因此偵錯程式在軟體開發過程中可以大顯身手。偵錯程式讓你能夠洞察程式在執行過程中做了什麼。偵錯程式的目的是允許開發者監控程式的內部狀態和執行。 從偵錯程式獲得程式的資訊可能比較困難,但並不意味著不可能,可以從反彙編器中獲得
2018/11/03-棧、x86架構和暫存器-《惡意程式碼分析實戰》
棧用於函式的記憶體、區域性變數、流控制結構等被儲存在棧中。棧是一種用壓和彈操作來刻畫的資料結構,向棧中壓入一些東西,然後再把他們彈出來。它是一種先入後出(LIFO)的結構。 x86架構有對棧的內建支援。用於這種支援的暫存器包括ESP和EBP。其中,ESP是棧指標,包含了指向棧頂的記憶體地址。一些東西
2018/11/06-異常-《惡意程式碼分析實戰》
異常機制允許一個程式在普通執行流之外處理事件。多數時間裡,異常是由錯誤引起的,諸如除零錯誤。當一個異常發生時,執行轉移到處理這個異常的特殊例程。有些異常,比如除零異常,是由硬體丟擲的;其他的,比如無效記憶體訪問,是由作業系統丟擲的。你也可以在程式碼中使用RaiseException呼叫,顯示地丟擲一個異常
2018/10/03-字串指令(重複指令、操作資料緩衝區指令)、rep與movx指令-《惡意程式碼分析實戰》
重複指令是一組操作資料緩衝區的指令。資料緩衝區通常是一個位元組陣列的形式,也可以是單字或者雙字。(Intel'稱這些指令為字串指令) 最常見的資料緩衝區操作指令是movsx、cmps、stosx和scasx,其中x可以是b、w後者d,分別表示位元組、字和雙字。這些指令對任何形式的資料都有效。
2018/10/03-函式呼叫約定、cdecl、stdcall、fastcall- 《惡意程式碼分析實戰》
cdecl是最常用的約定之一,引數是從右到左按序被壓入棧,當函式完成時由呼叫者清理棧,並且將返回值儲存在EAX中。 stdcall約定是被呼叫函式負責清理棧,其他和cdecl非常類似。 fastcall呼叫約定跨編譯器時變化最多,但是它總體上在所有情況下的工作方式都是相似的。在fastcall
《惡意程式碼分析實戰》--第三章:動態基礎分析
一、虛擬網路環境配置 配置環境:伺服器端kali2.0 客戶端win7 1、配置inetsim kali自帶inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置連結:http://www.cnblogs.com/hyq20135317/p/5515675.h
《惡意程式碼分析實戰》--第一章:靜態分析基礎技術
**請參考大神的連結:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 這裡我只是記錄我的學習過程** 2、用PEtools開啟,檢視日期 .exe .dll
惡意程式碼分析實戰
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
惡意程式碼分析實戰 Lab 5-1 習題筆記
Lab 5-1 問題 1.DllMain的地址是什麼? 解答: 這個我們用IDA Pro開啟來查詢,因為最新的IDA Pro不支援我們執行病毒那個虛擬機器的版本(xp pro 32),所以下面的分析都是在win7上的 開啟IDA Pro之後就會提
惡意程式碼分析實戰 Lab09-01(1)
分析報告: 1. 樣本概況 病毒名稱為Lab09-01.exe,使用Microsoft Visual C++ v6.0編譯。 1.1樣本資訊 病毒名稱:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值
惡意程式碼分析實戰-確認EXE什麼時候編譯的
場景 確認開源的後門在中毒機器上是什麼版本,具有什麼功能。 思路 1、檢視樣本PE裡的編譯時間 2、對照開源後門裡元件的編譯時間 技術點 檢視NT頭-TimeDateStamp struct IMAGE_NT_HEADERS NtHeader E8h F8h Fg: Bg:0xFFE
惡意程式碼分析實戰-啟動一個惡意的DLL
如果不能把惡意程式碼執行起來,那麼動態分析基礎技術沒有什麼用。 Windows版本中包含rundll32.exe程式,提供了一個執行DLL的平臺。 rundll32.exe Dllname,Export arguments Export值必須是一個DLL檔案匯出函式表中的函式名或者序號。 PEID可以
惡意程式碼分析實戰第15章
對抗反彙編,在很大程度上就是運用花指令技術,使得IDA的強大F5功能失效,在只能靜態分析時讓程式碼顯得亂七八糟,沒有頭緒,將知識點總結如下用IDA python對指令進行NOP替換import idaapi idaapi.CompileLine('static n_key()
惡意程式碼分析實戰 Lab19
lab19-011IDApro開啟看到解碼程式碼如下od除錯的時候顯示說無法作為及時偵錯程式除錯,所以只能用windbg,雖然麻煩了點解碼後程序先跳到003a0464接著在464處,馬上呼叫003a03bf函式步入檢視程式又呼叫003a039e函式步入檢視函式,這段函式很短,
惡意程式碼分析實戰Lab1204
GetModuleBaseName:獲取檔案程序完整路徑EnumProcesses:檢索程序中的每一個程序識別符號。帶三個引數,DWORD 型別的陣列指標 lpidProcess;該陣列的大小尺寸 cb;以及一個指向 DWORD 的指標 pBytesRrturned,它接收返
惡意程式碼分析實戰Lab1602
感覺這個程式原來分析過一次,很相似 目的是得到一個長度為4的pw IDA中邏輯非常清晰,在CreateThread中對資料byte_408030進行修改 然後v5作為判斷標誌 在這兒下斷看資料就好~ (然後用OD下斷看不到,結合本章知識點猜想是有
惡意程式碼分析實戰 Lab 3-2 習題筆記
Lab 3-2 問題 1.你怎樣才能讓這個惡意程式碼自行安裝? 解答: 這個看書上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,來執行惡意程式碼匯出installA函式
惡意程式碼分析實戰 Lab21
lab21-011lab09-02還記得話是需要改程式名才能正確執行,所以,程式不會發生什麼額,我的IDApro識別出來main修改下面的jz位jmp其中r11是之前getmodulname得到的當前程式名,另一個由ocl.exe編碼得到,windbg檢視位jzm只有一個ec
惡意程式碼分析實戰 Lab 3-1 習題筆記
Lab 3-1 問題 1.找出這個惡意程式碼的匯入函式於字串列表。 解答: (動態分析建議用winxp pro 32bit,下面你就知道為什麼這麼建議了)我們用Dependency Walker會發現這個程式只有很少的匯入函式,第一是懷疑是不是加殼了
惡意程式碼分析實戰Lab1302
main -> 1851 -> 1070,181F,1000碰到了好多不認識的WINAPI函式GetSystemMetrics:該函式只有一個引數,稱之為「索引」,這個索引有75個ID,通過設定不同的識別符號就可以獲取系統解析度、顯示區域的寬度和高度、滾動條的寬度