一个简单的病毒样本,病毒样本呈现了相对基础但具有潜在危害的汇编代码结构。从逐句分析汇编代码的角度来看,病毒的主要行为主要包括以下几个方面:01.内存操作接下来的汇编代码分析表明,通过将值1C(28)压...
01月14日24 views评论ptr
push
雷石|病毒样本分析
01月14日24 views评论ptr
push
01月14日24 views评论ptr
push
ida脚本开发环境配置idapython&idacpp三端环境(win、mac、linux)
写ida脚本也有一段时间了,一直有个痛点是找不到比较好的方法热重载脚本来实时改动生效,导致开发效率老慢了,故总结下比较友好的环境搭配。ida脚本开发,使用ida热加载插件让你开发脚本更高效。githu...
01月14日42 views评论ida
scripts
反调试技术-下
本期作者/牛杰前言是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆,有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试,以了解其...
01月14日233 views评论反调试
调试器
ttEncrypt算法的简单分析
一分析总结花了几个小时快速分析的,所以并未能的完全的分析他的整个流程,只能是通过一些快速分析的手段进行快速的定位以及验证!到最后才发现他的整个基本都是这个样子比如一开始的JNI_OnLoad方法,有空...
01月14日84 views评论.so
crypto
挂钩Sleep函数绕过BeaocnEye
为什么要挂钩Sleep函数?因为杀软不是一直在扫描内存,所以我们可以在Cobalt Strike的睡眠期间进行堆栈加密来避免杀软扫到我们的恶意载荷。先来看效果:如下这是我们loader程序,我们运行起...
01月14日46 views评论sizeof
thread
免杀 | 卡巴斯基引擎另类免杀玩法
## 卡巴斯基引擎另类免杀玩法 Charlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。 #### 项目地址: https://github.com/9e...
01月12日101 views评论shellcode
卡巴斯基
超级混淆!用 IDA 的控制流图来画图!
项目介绍大家好!欢迎来到最让逆向工程师痛恨的工具——Artfuscator!这个项目是基于ELVM工作的诅咒级C编译器。它能把C代码转换成一个控制流图,而这个图形式上竟然是任意你选的图片!🖼️看看这个...
01月12日288 views评论ida
逆向工程
实战 | 一文教你如何逆向(二)
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!公众号现在只对常读和星标的公众号才展示大图推送,建议大家把 明暗安全 设为星标,否则可能就看不到啦!1.漏洞背景继续接上次,我们...
01月11日36 views评论函数
加密
Windows驱动中校验数字签名(使用 ci.dll)
一背景对于常规应用程序来说,校验数字签名在在应用层可以使用 WinVerifyTrust, 在驱动层使用常规的 API无法使用,自己分析数据又太麻烦。但在内核中 ci.dll 包装了数据签名验证相关的...
01月10日19 views评论river
struct
逆向分析 160个CrackMe五星052
最近正在刷pwn和CrackMe,看到了一个160集合感觉不错,这5星级的还是挺有意思的,故分析发文。参考160个CrackMe破解思路合集(https://bbs.kanxue.com/thread...
01月08日16 views评论ida
逆向分析
免杀那点事儿之导出函数过主动(三)
声明:蓝极战队公众号只创作原创技术文章,转载请注明出处!!!在安全厂商的主动防御中,都会去检测可执行程序的行为,其中可执行程序调用的API尤为重点检测,比如一些VirutalAlloc/Ex的高危函数...
01月07日42 views评论shellcode
导出函数
免杀|先锋马免杀分享
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
01月07日35 views评论ptr
shellcode
176