- 探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析
- 一、概述
OceanLotus恶意组织(又名APT32、CobaltKitty)正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析,发现该木马使用了一种名......
- 所属分类:逆向工程 更新时间:2019-07-09 相关标签: 阅读全文...
- 如何安全地逆向分析macOS恶意软件
- Part 1
当前,用于介绍Windows平台和PE文件的恶意软件分析和逆向工程的学习资源汗牛充栋,但相比之下,介绍macOS恶意软件逆向分析以及macOS恶意软件分析技术方面的文献或教程,则少得可怜。鉴于此,在本系列文章中,......
- 所属分类:逆向工程 更新时间:2019-06-28 相关标签: 阅读全文...
- 一道题入门逆向分析
- 0×00 前言
将自己学习逆向破解的知识总结一下,主要是逆向的入门知识以及自己的学习感悟,包括逆向时的一些思路和补丁,注册机,保护壳等方面的一些知识,有不到之处请师傅们斧正。
演示程序【提取码:dd2b 】
工......
- 所属分类:逆向工程 更新时间:2019-06-24 相关标签: 阅读全文...
- 逆向分析Spotify.app并hook其功能获取数据
- 在开始本文的正式内容之前我想先来吐槽下。大多数的软件开发人员可能都有着这样一个烦恼,就是由于工作和其他责任,不得不搁置自己的一些个人项目甚至是最终完全的遗忘和埋没。而本文的所述的就是一个被我遗忘已久的......
- 所属分类:逆向工程 更新时间:2019-06-24 相关标签: 阅读全文...
- 全盘加密分析技术的简单介绍,只针对未开启预启动认证的情况
- 关于启动加载器(Boot Loader)和全盘加密(full disk encryption,FDE)的主题,虽然我已经写了几篇文章,但还没有对它进行更详细的探讨。所以在本文中,我希望更深入地了解如何真正开始执行这些类型的分析,以及为......
- 所属分类:逆向工程 更新时间:2019-06-24 相关标签: 阅读全文...
- PWN下如何查找函数的加载地址
- (pwn场景中,译者注)查找某个函数地址的典型方法是:通过计算与同一库中另一个已泄露出地址的函数的偏移量,得到所需函数的地址。然而,要使此方法有效工作,远程服务器的gLibc版本需要与我们本地的版本相同。当然我们......
- 所属分类:逆向工程 更新时间:2019-06-17 相关标签: 阅读全文...
- 使用DCI单步调试Intel CPU,调试运行在其上的UEFI代码
- 在本文中,我们将为读者详细介绍下列内容:
· 配置ASRock H370M-ITX/ac,以允许进行DCI DbC调试
· 使用Intel System Studio和System Debugger单步执行Coffee Lake-S i7-8700 CPU
· 在硬件上......
- 所属分类:逆向工程 更新时间:2019-06-14 相关标签: 阅读全文...
- 针对Belkin Surf N300路由器的硬件逆向研究
- SuperTask! RTOS是一种实时操作系统,2018年底,两名安全研究人员在该系统的某个版本中发现了一系列的安全漏洞。其中,在受这些漏洞的影响的设备列表中,就包括Belkin Surf N300路由器(型号为F7D2301)。
本文中的大......
- 所属分类:逆向工程 更新时间:2019-06-13 相关标签: 阅读全文...
- 使用QBDI分析Android原生库
- 在过去的几个月里,我们在 QBDI 中改进了对 ARM 的支持。更准确地说,我们增强了 QBDI 的引擎,以支持 Thumb 和 Thumb2 指令以及 Neno 寄存器。
开发仍在进行中,与 x86-64支持相比,我们需要清理代码并添加非回归测......
- 所属分类:逆向工程 更新时间:2019-06-13 相关标签: 阅读全文...
- 一步步学习Webassembly逆向分析方法
-
在强网杯2019线上赛的题目中,有一道名为Webassembly的wasm类型题,作为CTF新人,完全没有接触过wasm汇编语言,对该类型无从下手,查阅相关资料后才算入门,现将Webassembly的静态分析和动态调试的方法及过程整......
- 所属分类:逆向工程 更新时间:2019-06-03 相关标签: 阅读全文...
- 伪造的再好也能把你挖出来!如何对Word二进制文档进行分析?
- 随着计算机技术的普及,犯罪嫌疑人的文档档案、财务报表经常以word电子文档的形式出现在计算机中。所以在电子取证中,Microsoft Word取证分析是数字取证人员经常用于文档分析的方法。由于Microsoft Office的普及,许......
- 所属分类:逆向工程 更新时间:2019-05-30 相关标签: 阅读全文...
- 拿走不谢!固件逆向分析过程中的工具和技巧(下)
- 上文,我们讨论了固件逆向分析过程中的部分工具和策略,这篇我们接着介绍如何分析被加密的固件以及分析策略。
hex editor的使用
hex editor是一款使用简单的十六进制编辑工具,能快速对数字进行十六进制转换操作,......
- 所属分类:逆向工程 更新时间:2019-05-28 相关标签: 阅读全文...
- 拿走不谢!固件逆向分析过程中的工具和技巧(上)
-
将固件逆向分析,然后再将逆向分析后的内容转换为有用的东西,这个过程对于所有人来说都是一个耗时又耗力的过程。有时即使文件出现在你面前,你也无能为力,比如你可能会面临专有(几乎没有文档记录)的文件格式、奇......
- 所属分类:逆向工程 更新时间:2019-05-25 相关标签: 阅读全文...
- Nuki智能锁安全性分析
- Nuki智能锁,可以将手机变成智能钥匙。Nuki只要接入网络之后,在任何时间、任何地点都可以通过远程控制的方式打开大门。比如可以在家里没人的情况下,为快递员开门,让它将包裹放到家里之后再离开,还可以随时了解家......
- 所属分类:逆向工程 更新时间:2019-05-20 相关标签: 阅读全文...
- Windows调试艺术——PE文件变形(一)
-
上次的文章中我们着重探讨了导入函数和导出函数的具体过程,实际上也潜在地分析了PE文件的大部分结构,比如:导入表、导出表、延迟绑定表等等,这篇文章就把剩余的PE结构进行一下详细的总结,并在我们已经学过的......
- 所属分类:逆向工程 更新时间:2019-05-15 相关标签: 阅读全文...
- 逆向分析“海莲花” APT木马的花指令反混淆工具
-
本文中,CheckPoint研究人员基于对“海莲花” 木马程序的分析,编写了一段绕过其混淆技术的反混淆工具-APT32GraphDeobfuscator.py,在逆向分析过程中,利用该工具,最终可以消除混淆指令,清晰地显示出“海莲花” ......
- 所属分类:逆向工程 更新时间:2019-05-14 相关标签: 阅读全文...
- 实例讲解未知游戏文件格式的逆向分析方法(下)
- 现在,我们知道v8绝对是一个类。接下来,让我们暂时离开这里,回到50B9A2,考察一下50B91E函数:
_BYTE *__stdcall sub_50B91E(int a1, int a2, unsigned int a3)
{
unsigned int v3; // ecx@1
unsigned int......
- 所属分类:逆向工程 更新时间:2019-05-07 相关标签: 阅读全文...
- 实例讲解未知游戏文件格式的逆向分析方法(上)
- 当人们对未知文件格式进行逆向分析时,通常倾向于使用现成的提取器,但是,有时对于所讨论的格式并没有公共信息可用(例如,当开发公司使用自己特殊的格式来保护文件时),并且,文件格式可能存在巨大的差异,这时,我......
- 所属分类:逆向工程 更新时间:2019-05-05 相关标签: 阅读全文...
- Windows调试艺术——导入函数和导出函数
- windows调试艺术主要是记录我自己学习的windows知识,并希望尽可能将这些东西在某些实际方面体现出来。
所谓导入函数在很多人眼中是个非常简单的概念,无非就是把人家写好的函数拿过来用罢了,但实际上,导入一个函......
- 所属分类:逆向工程 更新时间:2019-04-30 相关标签: 阅读全文...
- 扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(一)
- FLARE(FireEye Labs Advanced Reverse Engineering 的缩写)通常会分析一些被大量使用的、且危害极大的恶意软件的源代码,然后对其进行分析,比如通过逆向工程、事件响应、取证调查和渗透测试。
FIN7(也被称为Anu......
- 所属分类:逆向工程 更新时间:2019-04-26 相关标签: 阅读全文...
- 利用GHIDRA逆向Tytera MD380的固件
- 背景知识介绍
2019年1月,美国国家安全局(NSA)宣布,它将免费向公众开放其逆向工程工具GHIDRA,源码已经于今年3月登陆代码托管平台GitHub 。NSA指出,GHIDRA框架的本质,是一款适用于 Windows、Mac 和 Linux平台的......
- 所属分类:逆向工程 更新时间:2019-04-22 相关标签: 阅读全文...
- C++逆向之容器vector篇入门
-
前言:说实话,我自己也不会c++的逆向。然后,现在太多的题目是c++的逆向了,一上来就是一堆容器,搞得我不得不去补补c++逆向部分的知识了,我这篇文章以西湖论剑的easyCpp为例,希望能给那些跟我一样是c++逆向......
- 所属分类:逆向工程 更新时间:2019-04-22 相关标签: 阅读全文...
- VxWorks固件逆向:WRT54Gv8
- 最近我一直致力于解压一些VxWorks固件镜像,不幸的是,几乎找不到相关的信息。所以这篇文章的主题主要是从WRT54Gv8固件镜像提取VxWorks的内核、应用代码以及在IDA pro中分析它们。
随着WRT54Gv5的发布,WRT54G系列从......
- 所属分类:逆向工程 更新时间:2019-04-18 相关标签: 阅读全文...
- Windows调试艺术——断点和反调试(上)
-
《Windows调试艺术》主要是记录我自己学习的windows知识,并希望尽可能将这些东西在某些实际方面体现出来。恰好最近我在为学校的新生校赛出题,想着来个反调试的”大杂烩”,里面有几个反调试技术恰好是基于前面......
- 所属分类:逆向工程 更新时间:2019-04-18 相关标签: 阅读全文...
- 程序员就是这么皮,逆向Google maps snake游戏
- 为了庆祝愚人节,Google在Google Maps应用安卓版和IOS版本中加入了snake游戏。Check Point研究人员对该应用进行了逆向破解……你不知道的是逆向竟然使用的是远程调试的方法。
本文详细介绍远程调试进行逆向的全过程......
- 所属分类:逆向工程 更新时间:2019-04-09 相关标签: 阅读全文...
- Windows调试艺术——从真实病毒学习消息机制
- 之前的时候偶然在某网站拿到一款很简单的病毒程序,虽然分析的难度不高,但是它巧妙的利用了Windows的消息机制实现了恶意功能,正好可以用它做个例子来学习一下Windows的消息机制。
Windows 消息结构
每一个程序......
- 所属分类:逆向工程 更新时间:2019-04-09 相关标签: 阅读全文...
- 两种姿势批量解密恶意驱动中的上百条字串
- 1. 概述
在 360Netlab 的旧文 《“双枪”木马的基础设施更新及相应传播方式的分析》 中,提到了 双枪 木马传播过程中的一个恶意驱动程序 kemon.sys ,其中有经过自定义加密的 Ascii 字符串和 Unicode 字符串 100+ 条......
- 所属分类:逆向工程 更新时间:2019-04-04 相关标签: 阅读全文...
