一、样本标签
标签名
描述
原始⽂件名
ISBEW64.exe
MD5
41d5fda21cf991734793df190ff078ba
⽂件⼤⼩
296.50 KB (303616 bytes)
⽂件格式
PE64
加壳类型
无
编译语⾔
.NET
SHA-1
b50a8e2a7998e17286d2e18d1cf3f7e4e84482c6
SHA-256
...
⼀、加载器分析1、样本标签
病毒名称
c8810d5eaaea95b36bbb529a2b9be5c5e6dda10f95992e7c35ac8bbf9f3a8f71
原始⽂件名
⽆
MD5
93d6d599c37d1858cc86c0d8fe8fb8d4
⽂件⼤⼩
222.50 KB (227840 bytes)
⽂件格式
Win32 DLL
时间戳
2020-04-2...
一、ROCESS1、EProcess进程结构,每个进程都有这样一个结构。EPROCESS中还有一个KPROCESS,其中EPROCESS被称为执行体,主要是给R3进行访问;KPROCESS才是真正的对象结构。
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152...
WDK下载链接:https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk,根据页面对应内容下载即可。
x86驱动打开只能使用<=wdk8.1版本,对应的可用vs版本为<=vs2017。因此X86篇章的驱动开发环境如下:
系统:window7 x64 sp1
IDE:...
要点
易语言的入口函数特征
各种函数的调用特征以及识别
针对易语言程序的分析插件
1、如何识别易语言程序一、查看文件信息右键-属性-详细信息
二、查看资源文件Resource Hacker或其他可查看资源文件的工具
三、库文件易语言程序依赖于自实现的库(.fnr)执行,针对易语言的编译模式有静态编译、非静态编译和独立编译,如下图:
编译:编译程序时,会将所有需要用到的库文件生...
1、保护模式简介CPU分有:实模式、保护模式、虚拟8086模式,大多数操作系统都运行在保护模式下。
保护模式主要是用来保护寄存器、数据结构、指令,实际上也就是保护寄存器,因为cpu的数据都存放在寄存器中。
保护模式的特点:段和页。
实模式:16位系统DOS,访问的都是物理地址,不安全。
保护模式:将物理地址隔阂后,使用一种线性的虚拟地址来访问,相对实模式来说比较安全。并用段和页的特点来维护虚拟...
PUBG偏移获取Offset_Xedecryption搜索getRootComponent
Offset_rootComponent
Offset_TslGameState
Offset_WorldToMiniMap
Offset_AcknowledgedPawn
Offset_GroggyHealth
Offset_Health
O...
一、反调试1、分析程序启动时会对Zw函数进行拷贝到自身内存中,并将内存加密。实现过掉常规API检测。
然后对BeginDebug和ForceFlags标志位进行检测,如果根据是否进行调试来设置自定义值。
执行到MFC入口后会首先判断Wow64Transition是否被hook。
然后对PEB->ProcessHeap->Flags、PEB->ProcessHeap...
一、样本标签
标签名
描述
原始⽂件名
cache_init
MD5
8F56AEB3D516E6DEB858A73DA66E1071
⽂件⼤⼩
1.63 MB (1,711,852 字节)
⽂件格式
ELF 86-bit
加壳类型
UPX
编译语⾔
GO
SHA-1
7510E1914343B7EE91BC6BFC97951ECA7B4B7F16
SHA-2...
主模块 - msupdate.exe基本信息
病毒名称: Virus/Win32.Virut.ce
MD5: 33D0AB6CA728528F5860170ACDB85A0F
文件大小: 106,496 bytes
文件格式: BinExecute/Microsoft.PE[:X86]
编译语言: C++
时间戳: 2007-07-05 19:52:54
加壳类型: 无
功...