- 博客(12)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 AutoIt脚本程序的反编译
AutoIt脚本程序的反编译 Autoit可执行程序由Autoit脚本编写(.au3)而后经过Aut2exe.exe编译转换成为可执行程序。 编译时默认编译出32位的程序,可以选择编译成x64位程序,老版本Aut2exe.exe还可以提供对脚本进行加密保护。 编译后的exe可以被exe2aut.exe反编译得到原始脚本。 但是有一个问题是exe2aut.exe只能反编译出32位版本的Autoit exe程序,无法反编译x64位的。看到360的文章说“64位的AUTOIT编译后生成的exe将加密
2021-08-27 15:22:37
1994
原创 Python搭建本地服务服务器协助恶意代码分析
Python搭建本地服务服务器协助恶意代码分析近日在分析恶意代码的时候发现木马"C2"服务器已不在工作导致其请求下载的shellcode不能正常下载到内存中被解密执行,但是发现沙箱里已经有该shellcode,于是就想着搭建一个本地服务器能让木马顺利下载shellcode。然后就在网上找了一个使用python搭建本地服务器的教程,发现很方便也很容易操作,教程地址:https://www.cnblogs.com/sunshine-blog/p/12612576.html我在这里复述一下:# pytho
2021-08-06 14:42:16
226
3
原创 Ramnit感染型病毒创建傀儡进程的方法
Ramnit感染型病毒创建傀儡进程的方法样本信息:MD5: FF5E1F27193CE51EEC318714EF038BEFSHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA61,查找默认浏览器如果有默认浏览器则将默认浏览器作为傀儡进程,如果没有则使用IE浏览器2,HOOK ntdll.ZwWriteVirtualMemory()函数使用inline hook的方式HOOK ntdll.ZwWriteVirtualMemory()函数hook之前暂
2021-06-17 00:11:52
471
原创 Parite.H病毒分析
Parite.H病毒分析样本信息MD5:633464FF7520FDAFF672F726C059E33D样本概述该样本是一个被Parite感染型病毒感染的exe文件。其运行后会先解密一段数据,这段数据包括原文件的一些信息和一段shellcode。这段shellcode会解密文件末尾的病毒dll将其写入临时目录下的临时文件中,然后调用病毒dll文件导出的Initiate()API通过setwindowshook的方式将其注入explorer.exe进程。病毒dll被注入到explorer.exe进程中
2020-12-27 19:13:31
821
原创 VBS写成的远控病毒分析
Agent.a病毒分析样本信息MD5:78a0e123da2a2555f830cb880293c10d样本概述该病毒是一个通过可移动磁盘传播的后门病毒。其感染主机后会分别将自身拷贝到自启目录和临时目录,并添加自启以实现持久化。其在运行后会连接http://shabh.no-ip.biz:1975/is-ready上传主机信息和接收控制指令,并在主机使用可移动磁盘时感染可移动磁盘。行为概述注册表行为1,分别在·HKEY_CURRENT_USER\Software\Microsoft\Window
2020-11-23 13:24:35
523
原创 Blackice.C病毒分析
Blackice.C病毒分析样本信息MD5:50f559ef10b0291332d387ac9149878e样本概述该病毒是具有对抗能力的感染型病毒,属于blackice家族。其通过在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell和HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run设置自启来实现持久化,通过注入explorer.exe进程来实现进
2020-11-18 23:15:18
1618
2
原创 Process Explorer.exe的使用
文章目录Process Explorer.exe的使用下载地址作用使用场景工作原理字段及功能介绍重要字段信息介绍重要功能介绍File按钮Options按钮View按钮Process按钮Find按钮察看进程模块加载及句柄占用情况Process Explorer.exe的使用制作者:张燕平才疏学浅,欢迎指正。下载地址https://docs.microsoft.com/zh-cn/sysin...
2020-04-02 14:42:46
821
原创 Tcpview的使用
文章目录Tcpview的使用下载地址作用使用场景工作原理字段及功能介绍字段信息介绍功能介绍File按钮Option按钮Process按钮View按钮Tcpview的使用制作者:张燕平才疏学浅,欢迎指正。下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview作用察看主机上的网络连接。使用场景当需要察看...
2020-04-02 14:22:20
8850
1
原创 Autoruns.exe的使用
文章目录Autoruns.exe的使用下载地址作用使用场景工作原理字段及功能介绍字段信息介绍功能介绍File按钮Entry按钮Options按钮Autoruns.exe的使用制作者:张燕平才疏学浅,欢迎指正。下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns作用察看当前主机上的自动启动项。使用场...
2020-04-02 14:15:50
3450
原创 宏病毒分析
文章目录基本信息一,概述二,流程图三,技术细节详细分析宏exchangeX.dll61B00.dll进程行为注册表行为网络行为四,样本溯源五,查杀&恢复方案六,防护建议基本信息FileNameFileTypeFileSizepackerMD5sample4.xls宏病毒338 KBno3effeba64d9a1a4dd1bddaeb1858e4d0...
2019-10-25 17:02:56
1331
原创 TEB(线程环境块)学习
文章目录TEBTEB结构中的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlagTEBTEB结构中的两个重要成员+0x000 NtTib :_NT_TIB...+0x30 ProcessEnvironmentBlock ...
2019-09-11 15:43:01
4904
原创 样本分析(TeslaCrypt,AES)
文章目录基本信息一,概述二,流程图三,技术细节详细分析详细分析WinMain()线程1线程2线程3线程4线程5线程6进程行为注册表行为网络行为四,查杀&恢复方案删除病毒文件修复注册表恢复文件工具使用方法五,防护建议基本信息FileNameFileTypeFileSizepackerMD5tfukrc.exe勒索病毒235kbno72CCC18F3038...
2019-09-11 09:59:43
1612
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人