第11章 恶意代码行为11x1 下载器和启动器常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码，然后在本地系统中运行。下载器通常会与漏洞利用（exploit）打包在一起。下载器常用Windows API函数URLDownloadtoFileA和WinExec，来下载并运行新的 ...

第10章 使用WinDbg调试内核本章将探索使用WinDbg进行内核调试和Rootkit分析的方法。 10x1 驱动与内核代码Windows设备驱动简称为驱动，它让第三方开发商在Windows内核模式下运行代码。 由于驱动程序常驻内存，并且负责响应用户态应用程序的请求，因此分析它十分困难。另外，由 ...

第12章 隐蔽的恶意代码启动12x1 启动器（Launcher）启动器（也称为加载器）是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。启动器的目的是安装一些东西，以使恶意行为对用户隐藏。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者DLL ...

第13章 数据加密13x1 分析加密算法的目的恶意代码用加密来达到各种各样的目的。最常见的是加密网络通信，同时，恶意代码也会用加密来隐藏它的内部工作。例如，恶意代码编写者可能因为如下目的而使用加密： ·隐藏配置信息。例如，命令和控制服务器域名。·窃取信息之前将它保存到一个临时文件。·存储需要使用 ...

第8章 动态调试8x1 源代码级与汇编级的调试器8x2 内核模式与用户模式调试在用户模式中，调试器与被调试的代码运行在同一个系统中内核模式调试一般需要两个不同的系统WinDbg是当前唯一支持内核调试的流行调试器 8x3 使用调试器1. 单步调试2. 单步跳过(Stepping-Over)和单步跳入( ...

OllyDbgOllyDbg被普遍用来分析恶意代码之前,最初的用途是破解软件。 Immunity Security公司买下 OllyDbg1.1的基础代码,并将其更名为Immunity Debugger(ImmDbg)。在此之前, OllyDbg直都是恶意代码分析师和漏洞开发者们的首选调试器。Imm ...

CRC校验算法及逆向方法初探循环冗余校验（Cyclic redundancy check）介绍 循环冗余校验（英语：Cyclic redundancy check，通称“CRC”）是一种根据网络数据包或计算机文件等数据产生简短固定位数校验码的一种散列函数，主要用来检测或校验数据传输或者保存后可能出现 ...

001_Acid_burn.exe 算法分析爆破的方法是好几个月以前写的了001_Acid_burn.exe 今天来看一下算法 Serial直接在OD中分析此分支，找到跳转判断条件 函数004039FC内将输入字符串与“Hello Dude!”进行比较即密码就是 Hello Dude! Name+S ...

点击放大查看

2018巅峰极客网络安全技能挑战赛 RE(1) Simple Base-N通过这道题，又复习了一遍Base32的逆向 很干净，无壳无花，x86 C++ 拖进IDA IDA分析搜索字符串 定位，F5 首先要求输入长度大于等于10 1. Fake Flagv3 = "guvf_vf_n_snx ...