LNK文件利用方式 前言来学习一下,关于LNK文件的一些东西,主要是文件的格式,还有利用的方式。 LNK文件格式LNK文件是用于指向其他文件的一种文件,这些文件通常称为快捷方式文件,其扩展名为.lnk ShellLinkHeaderShellLinkHeader结构包含标识信息、时间戳和指定可选结构存在的标志。 文件的前20个字节都是固定的格式,是不变的,分别是4个字节的HeaderSize,此值必须是0x0000 2022-03-15 恶意样本技术 LNK文件 恶意载荷
恶意代码分析实战-实验17 Lab 17-1分析这个是实验七中的7-1,所以关于具体的功能就不再做分析了,只看一下关于虚拟机检测的部分。 第一个是sidt指令,看到下面的jz跳转,会跳向退出的地方。 第二个是str指令 第三个是sub_401100函数中的sldt指令 一个一个导出函数来分析下 InstallRT问题1. 这个恶意代码使用了什么反虚拟机技术?使用了sidt、str和sldt指令。 2. 如果你有一个商业 2022-02-16 恶意代码分析实战 逆向工程 病毒分析 Lab
吾爱2022春节红包题目 前言今年来做一下吾爱论坛的红包题目,之前就知道有这个活动,但是从来没参与过,今年参与一下。 第一题送分题就不说了,因为也不会安卓和web,所以第四题第五题都没做,只做了二三题,两道windows的题目。 好久没写过东西了,感觉写的时候,突然有点不熟悉了,思路啥的也表达不明白了… Windows初级题这个题是一个明码比较,比较简单。 上来输入之后,先是对输入的长度进行了限制,必须是23位的pasaw 2022-02-11 CrackMe 逆向工程 CrackMe
MFC逆向-查找控件事件 前言最近想做一下腾讯的2016游戏安全竞赛的题目,然后第一题的是一个MFC程序,很久没有调试过MFC程序了,然后来记录一下MFC逆向中如何查找到控件事件的方法吧。 以前我遇见MFC的程序,一般都是直接用API下断的方式,比如断在弹窗,获取文本这些地方。这些方法也可以用,只是感觉没有学习到的这个方法方便。这次搜索了一下,学习了一种新的方式。(怎么以前没想着搜索学习一下呢…) 方法原理首先我们要做MF 2022-01-21 逆向工程 逆向工程 MFC
恶意代码分析实战-实验16 Lab 16-1分析首先本程序是实验九的程序,流程都是一样的,只是加入了反调试的手段,就不再对程序本身进行分析了,分析在这里恶意代码分析实战-实验9 只分析一下反调试的内容。反调试的手段主要是这三个,PEB中的BeingDebugged标志,PEB中的processHeap中的flags属性和PEB中的NTGlobalFlag标志。 问题1. 这个恶意代码使用了哪些反调试技术?PEB中的Bein 2022-01-14 恶意代码分析实战 逆向工程 病毒分析 Lab
恶意代码分析实战-实验15 Lab 15-1分析使用IDA打开程序,看到当前的代码,有几个红色的地方,此时已经被混淆过,让IDA的识别出现了问题。 按D将指令转为数据,然后跳过E8按C,重新构造代码,即可看到正确的汇编代码。 重新构造了汇编代码之后,分析一下程序的流程,首先是检查是否携带参数,这里注意下,argc默认是1,携带一个参数就是2,然后这里的ebp+8是argc参数稍微说明一下。 首先main有三个参数,ar 2022-01-11 恶意代码分析实战 逆向工程 病毒分析 Lab
格式化字符串漏洞 格式化字符串原理介绍格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来讲,格式化字符串函数就是将计算机内存中表示的数据转化为可读的字符串格式。几乎所有的C/C++程序都会利用格式化字符串函数来输出信息、调试程序、或者处理字符串。一般来说,格式化字符串在利用的时候主要为三个部分: 格式化字符串函数 格式化字符串 后续参数,可选 格式化字符串函数 2022-01-06 PWN 格式化字符串
Macro 4.0总结 前言上周碰到了一个Excel 宏4.0的xlsb样本,也算是分析的第一个宏病毒,起初对于宏的提取完全没有用,用了很长时间才成功提取并且看到宏代码,所以来稍微的总结一下关于宏4.0的东西。 宏4.0最早在1992年在Excel 4.0版本中引入,是Visual Basic for Applications (VBA) 的前身,和现在的VBA宏不一样,宏4.0可以直接写在表格里。而现在这种老技术又重新 2021-12-13 样本技术 宏病毒 Macro 4.0
Go语言学习笔记二 Go语言运算符运算符用于在程序运行时执行数学或者逻辑运算 Go语言内置的运算符有: 算术运算符 关系运算符 逻辑运算符 位运算符 赋值运算符 其他运算符 算术运算符 运算符 描述 + 相加 - 相减 * 相乘 / 相除 % 求余 ++ 自增 – 自减 1234567891011121314151617package mainimport "fmt 2021-12-02 Go语言学习 Go语言
基本ROP 前言还是继续学习练习ROP技术,现在是跟着CTF WIKI中的ROP来学习一下。 基本ROP 基本ROP随着NX的保护开启,曾经直接向栈或者堆上直接注入代码的方式难以继续发挥作用。攻击者也提出了相应的方法来绕过保护,目前主要的是ROP,其主要的思想就是在栈缓冲区溢出的基础上,利用程序中已经有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓的gadget就是以re 2021-11-26 PWN ROP
