样本为一个Word文件,Virustotal地址: https://www.virustotal.com/#/file/f8aede78ad92bd28f5f699b677d7d5fd362c8be846d03f009e1f04a9c3d15101/detection 动态分析可以获取Callback Server地址,但不能确定是所有Callback Server.静态分析查看Macros代码时候,发现混淆比较复杂,很难拿到最终执行的明文Powershell代码.根据经验Macros经常要么执…

目录 -- 恶意代码分析 恶意代码分析说明 实验任务目标 实验内容概述 schtasks命令使用 实验内容 系统运行监控 恶意软件分析 静态分析 virscan分析和VirusTotal分析 PEiD分析 Ollydbg逻辑结构分析 PE Explorer分析 动态分析 Threatbook沙盒检测 快照比对SysTracer分析 WireShark抓包分析 实验遇到的问题及解决方法 实验知识问答 实验收获与感想 1 恶意代码分析说明 1.1 实验任务目标 是监控你自己系统的运行状态,看有没有可…

目录 实践目标 实践内容 基础问题回答 实验步骤 使用schtasks指令监控系统 使用sysmon工具监控系统 使用VirusTotal分析恶意软件 使用PEiD进行外壳检测 使用PE explorer查看PE文件头中包含代码信息 使用Dependency Walker查看其依赖性.导入与导出模块 使用SysTracer分析后门软件的运行过程 使用wireshark对流量进行抓包分析 实验体会 实践目标 1.监控你自己系统的运行状态,看有没有可疑的程序在运行 2.分析一个恶意软件,就分析Exp…

Exp4 恶意代码分析 实验目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行.  2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systracer套件.  3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行 进一步分析,好确认其具体的行为与性质. 回答问题   1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在…

目录 1.实验内容 1.1.系统运行监控 1.1.1.使用命令行创建计划任务 1.1.2.使用命令行借助批处理文件创建计划任务 1.1.3.分析netstat计划任务的最终结果 1.1.4.安装配置sysmon监控可疑行为 1.1.5.sysmon结果分析 1.2.恶意软件分析 1.2.1.msf生成vs重编译的反弹后门行为分析 1.2.2.会联网的触摸板驱动Apoint.exe行为分析 2.回答问题 2.1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什…

1.Office Macor MS office宏的编程语言是Visual Basic For Applications(VBA). 微软在1994年发行的Excel5.0版本中,即具备了VBA的宏功能.开发目的是为了在其桌面应用程序中执行通用的自动化任务,用于扩展Windows的应用程序功能.在分析带有宏病毒的样本前,我们需要对VBA有所了解.才能更顺畅地了解病毒发展中的手段和变化. 2.VBA代码阅读扫盲 (1) 环境介绍 打开Excel的开发者工具 当用户希望使用宏功能时,可在"开发工具&…

死磕以太坊源码分析之downloader同步 需要配合注释代码看:https://github.com/blockchainGuide/ 这篇文章篇幅较长,能看下去的是条汉子,建议收藏 希望读者在阅读过程中,指出问题,给个关注,一起探讨. 概览 downloader 模块的代码位于 eth/downloader 目录下.主要的功能代码分别是: downloader.go :实现了区块同步逻辑 peer.go :对区块各个阶段的组装,下面的各个FetchXXX 就是很依赖这个模块. queue.g…

1.病毒会在system32目录生成一个以tmp结尾的随机数命名的文件. 2.然后挂钩HOOK本进程空间的imm32.dll导出的ImmLoadLayout函数和ntdll.dll导出的ZwQueryValueKey. 3.被挂钩的ZwQueryValueKey的处理流程是:若查询的键值是“Ime File”,则把之前生成的tmp文件名拷贝到输入缓冲区中返回给调用者,其它情况恢复原来流程执行. 4.显式调用user32的函数LoadKeyboardLayoutA来加载新的键盘布局,该函数经过wi…

众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的文章也有过实例介绍:至于客户端溢出漏洞,这种说法是我暂时从网络上借用来的,IE. OutLook.Firefox.MSN等存在的漏洞是例子,扩展一下,Office.Acrobar Reader等软件存在的漏洞也归于此类型.远程服务溢出漏洞由于多数协议公开,在协议基础上辅以常用的黑盒测试等技术,利用起…

ZZ:Solaris 10 软件包分析 http://blog.chinaunix.net/uid-22759617-id-276756.html # Last updated: 2006-02-14 #                     an analysis of Solaris 10 packages#                     ++++++++++++++++++++++++++++++++++#               SUNWCuser on SunBlade…