“白加黑”DLL劫持 前言DLL劫持就是劫持或者替换掉正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。其中有一种手法叫“白加黑”,就是一个“白”的EXE加载“黑“的DLL。 原理DLL劫持的原理主要就是windows下加载DLL的顺序。在加载DLL的时候,系统会依次从以下六个位置去查找所需要的DLL文件 程序所在目录 系统目录 16位系统目录 Windows目录 当前目录 PATH环境变量中的各个目录 只要可 2021-10-11 DLL劫持 DLL劫持 “白加黑”
恶意代码分析实战-实验13 Lab 13-1详细分析监控行为可以看到有大量的网络连接 使用wireshark抓取数据包,可以看到如图的数据包内容。可以看到域名www.practicalmalwareanalysis.com还有get字段的内容V0lOLU5QTFE0SE9T。 使用IDA查看程序,可以看到有两个自定义的函数sub_401300,sub_4011C9。 来分析一下401300,可以看到从资源节中释放出来一 2021-10-08 恶意代码分析实战 逆向工程 病毒分析 Lab
虚拟机检测 前言现在虚拟机的应用是越来越广泛了,不论是现在流行的网游还是一些病毒都会有自己的反虚拟机机制,判断其是否是运行在虚拟机之中。我现在也学习并记录一下一些虚拟机检测的手段,因为我只使用过VMware,所以我这里只记录自己对于VMware的检测,其他类型的虚拟机暂时没有用过,所以先暂且不提。 我个人对于虚拟机检测的理解,就是检测其中的各种特征,因为虚拟机运行和真实环境是有差距的,比如一些特定的服务,硬件 2021-09-28 虚拟机检测 逆向工程 虚拟机检测 编程
恶意代码分析实战-实验12 Lab 12-1详细分析打开程序后,每隔一段时间都会弹出一个窗口 使用火绒剑监控行为,发现其有注入的行为。可以看到注入的进程是Explorer.exe 可以看出来它获取了explorer的PID然后进行了DLL注入,注入的DLL为Lab12-01.dll。它获得进程PID的方式是通过EnumProcesses、EnumProcessModules、GetModuleBaseNameA这三个函 2021-09-23 恶意代码分析实战 逆向工程 病毒分析 Lab
yara规则学习笔记(三) 前言基本的一些语法,规则的应用基本已经学习完了,现在来练习一下模块的用法,主要先是PE这个模块,具体的每一个值的用法在官方文档中已经描述的非常详细了,我就不再过多的去介绍其用法了,我只是拿过来部分去进行实际的编写测试。在本篇之前,应该至少要对PE文件结构有了解,如果对PE还不是非常的了解的话,建议先去学习PE结构。 官方文档PE模块地址: https://yara.readthedocs.io/e 2021-09-22 YARA YARA 恶意代码检测
CVE-2021-40444的样本分析 前言前段时间微软披露了cve-2021-40444,紧随其后就有大量的样本利用了此漏洞,本篇来分析一下一个利用了此漏洞的样本。 样本信息 样本名称:A Letter before court 4.docx 样本大小:24177字节 样本类型:TrojanDownloader、exploit、cve-2021-40444 MD5:1d2094ce85d66878ee079185e2761beb SH 2021-09-22 病毒分析 逆向工程 病毒分析 CVE-2021-40444
yara规则学习笔记(二) 上一篇地址 yara规则学习笔记(一) 条件可以使用and,or以及not等来进行布尔运算,关系运算符>=,<=,<,>,==和!=,算数运算符+,-,*,\,%,,按位运算符&,|,<<,>>,~,^。 字符串标识符也可以在条件中使用,充当布尔变量,其值取决于文件中相关字符串的存在与否。 12345678910rule test{ 2021-09-14 YARA YARA 恶意代码检测
yara规则学习笔记(一) 前言yara是一种皆在帮助恶意软件研究人员识别和分类恶意软件样本的工具。每一个描述,也就是规则,由一组字符串和一个确定其逻辑布尔表达式组成。 官方文档地址: https://yara.readthedocs.io/en/v4.1.2/index.html windows端官方下载地址: https://github.com/VirusTotal/yara/releases/tag/v4.1.2 安 2021-09-13 YARA YARA 恶意代码检测
恶意代码分析实战-实验11 Lab 11-1详细分析使用火绒剑监控行为,可以看到其向当前的目录下释放了一个Dll文件。 IDA查看,可以看到很明显的从资源节中释放文件 之后会进行注册表的相关操作。 可以看到在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下创建了一个键值GinaDLL,值是释放的DLL的路径。 打开DL 2021-09-07 恶意代码分析实战 逆向工程 病毒分析 Lab
恶意代码分析实战-实验9 Lab 9-1详细分析打开程序,首先看到判断当前程序是否带了参数,如果带了参数,就进行后面的操作,如果没有带参数,会尝试打开一个键值,如果不存在此键值,则程序自删除,如果存在就会开始和服务器端通信,这些后面再说。 之后会进行判断,首先判断当前输入的最后一个参数是否等于abcd。 然后就是判断输入的第一个参数是什么,-in,-re,-c,-cc。 -in-in参数,首先创建了一个系统服务 然后 2021-09-01 恶意代码分析实战 逆向工程 病毒分析 Lab
