• 安全分析与研究:专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链
  • 安全分析与研究:关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息
手动脱壳总结(精点中的精点对初学者来说)

手动脱壳总结(精点中的精点对初学者来说)

在分析一些恶意样本的时候,一些恶意样本会加一些常规的壳,下面给大家介绍一些常规壳的脱壳方法 手动脱壳最常见的方法逐个介绍:单步跟踪法: 1.OD载入,不分析代码。 2.近CALLF7,远CALLF8,实现向下的跳转。 3.有回跳处,下一句代码处F4 (右键代码断点运行到所选) 4.大的跳转(大跨段,JMP***或JE***或RETN),很快就会到OEP 。 ……

恶意代码分析之对抗反汇编技巧入门

恶意代码分析之对抗反汇编技巧入门

在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。 使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示: 00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出……

驱动人生病毒Python核心脚本提取技巧

驱动人生病毒Python核心脚本提取技巧

最近一段时间驱动人生病毒席卷国内,各大安全厂商都在关注,也都发布了相应的分析报告,驱动人生病毒传播主体是由Python语言编写之后打包的EXE程序,在分析的过程中,有些朋友可能会遇到一个问题,如何提取这个EXE程序中的核心Python脚本呢?请看下面的详细分析过程,病毒样本在打包过程中使用了一点小技巧。 1.拿到样本,如下所示: 2.……