Chernobyl
Learning

Chernobyl's blog


Chernobyl's blog
搜索什么...
https://tinytracer.com/wp-content/uploads/2018/12/pixiv55666878_17.jpg
基于Ring3的行为分析工具开发日志——进程通信

起因 趁还有印象赶紧动笔 程序行为分析器采用DLL注入的方式实现,类似于 hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPID)); pRemoteBuf=VirtualAllocEx(hProcess,NULL,dwB…

   285   2020-02-16   阅读全文
https://tinytracer.com/wp-content/uploads/2018/12/pixiv53819134.jpg
行为分析工具开发日志——序

前言 我们在分析一个程序的时候,通常的步骤是拖进PEid等工具查壳,看区段和引用,然后拖进OD等调试器脱壳,或者IDA等工具查看源码,来对程序有个大体上的了解。然而在分析病毒样本…

   302   2020-02-13   阅读全文
https://tinytracer.com/wp-content/uploads/2018/12/pixiv53819134.jpg
基于异常的反调试实践

前言 最近在学习软件调试相关的内容,顺便举一反三找找反调试以及反反调试的相关方法。逛着逛着找到了这个网站:2种基于异常机制的反调试方法,虽然一看就知道不知道从哪转载的,而…

   1,605   2019-02-03   阅读全文
https://tinytracer.com/wp-content/uploads/2018/12/pixiv46279507.png
硬件断点探幽

硬件断点 调试寄存器 IA-32处理器定义了8个调试寄存器,分别是DR0\~DR7。在32位模式下,它们都是32位的;在64位模式下为64位。 在32位模式下,DR4与DR5是保留的,当调试扩展(DE)…

   1,399   2019-01-31   阅读全文
https://tinytracer.com/wp-content/uploads/2018/12/pixiv55991392.jpg
软件断点探幽

软件断点 x86系列的处理器支持一条专门用来调试指令INT 3,也即是通常所说的“软件断点”,这条指令的目的是使CPU中断到调试器,以供调试者对执行现场进行分析。调试程序时,可以在可…

   1,462   2019-01-29   阅读全文
https://tinytracer.com/wp-content/uploads/2018/05/pixiv43282883.jpg
Windows x64 内存dump分析

前言 今天上午去上课前在虚拟机配置生产环境,没锁屏离开了宿舍。由于插着电源,电脑并不会自动进入休眠超时锁定账户。但是下课回来发现需要登陆——电脑重启了。重启的原因是什么?~…

   2,011   2018-12-20   阅读全文
https://tinytracer.com/wp-content/uploads/2018/06/47580308.jpg
BadUSB

BadUSB简介 BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。用户插入BadUSB,就会自动执行预置在固件中的恶意代码,如下载服务器上的恶意文件,执行恶意操作等。由于恶意代码…

   1,454   2018-12-04   阅读全文
https://tinytracer.com/wp-content/uploads/2018/10/pixiv46796482.jpg
ROOTKIT初探——进程隐藏与混淆

预备知识请参阅RootKit 初探——文件隐藏与混淆 原理分析 概述 本次Rootkit教程 核心是Hook系统获取进程信息的函数ZwQuerySystemInformation。该函数未公开实现,官方文档所信息十…

   1,486   2018-10-22   阅读全文
https://tinytracer.com/wp-content/uploads/2017/08/espresso-1.jpg
逆向工程随笔

逆向工程随笔 序   这篇文章不是讲技术的,更不是什么实践教程。随笔嘛,随便写些什么,祭奠我暑假实习的时光。看心情和工作进度不定时更新吧。各位当个故事也好,当技…

   1,544   2018-08-03   阅读全文
https://tinytracer.com/wp-content/uploads/2018/07/pixiv43613760.jpg
RootKit 初探——文件隐藏与混淆

RootKit 初探——文件隐藏与混淆 什么是Rootkit? Rootkit一词最早出现在Unix系统上。系统入侵者为了获取系统管理员级的root权限,或者为了清除被系统记录的入侵痕迹,会重新汇编一些…

   1,326   2018-07-23   阅读全文
加载更多