起因 趁还有印象赶紧动笔 程序行为分析器采用DLL注入的方式实现,类似于 hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPID)); pRemoteBuf=VirtualAllocEx(hProcess,NULL,dwB…
34 2020-02-16 阅读全文
前言 我们在分析一个程序的时候,通常的步骤是拖进PEid等工具查壳,看区段和引用,然后拖进OD等调试器脱壳,或者IDA等工具查看源码,来对程序有个大体上的了解。然而在分析病毒样本…
44 2020-02-13 阅读全文
前言 最近在学习软件调试相关的内容,顺便举一反三找找反调试以及反反调试的相关方法。逛着逛着找到了这个网站:2种基于异常机制的反调试方法,虽然一看就知道不知道从哪转载的,而…
1,021 2019-02-03 阅读全文
硬件断点 调试寄存器 IA-32处理器定义了8个调试寄存器,分别是DR0\~DR7。在32位模式下,它们都是32位的;在64位模式下为64位。 在32位模式下,DR4与DR5是保留的,当调试扩展(DE)…
948 2019-01-31 阅读全文
软件断点 x86系列的处理器支持一条专门用来调试指令INT 3,也即是通常所说的“软件断点”,这条指令的目的是使CPU中断到调试器,以供调试者对执行现场进行分析。调试程序时,可以在可…
982 2019-01-29 阅读全文
前言 今天上午去上课前在虚拟机配置生产环境,没锁屏离开了宿舍。由于插着电源,电脑并不会自动进入休眠超时锁定账户。但是下课回来发现需要登陆——电脑重启了。重启的原因是什么?~…
1,520 2018-12-20 阅读全文
BadUSB简介 BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。用户插入BadUSB,就会自动执行预置在固件中的恶意代码,如下载服务器上的恶意文件,执行恶意操作等。由于恶意代码…
1,203 2018-12-04 阅读全文
预备知识请参阅RootKit 初探——文件隐藏与混淆 原理分析 概述 本次Rootkit教程 核心是Hook系统获取进程信息的函数ZwQuerySystemInformation。该函数未公开实现,官方文档所信息十…
1,224 2018-10-22 阅读全文
逆向工程随笔 序 这篇文章不是讲技术的,更不是什么实践教程。随笔嘛,随便写些什么,祭奠我暑假实习的时光。看心情和工作进度不定时更新吧。各位当个故事也好,当技…
1,221 2018-08-03 阅读全文
RootKit 初探——文件隐藏与混淆 什么是Rootkit? Rootkit一词最早出现在Unix系统上。系统入侵者为了获取系统管理员级的root权限,或者为了清除被系统记录的入侵痕迹,会重新汇编一些…
1,023 2018-07-23 阅读全文