今天开始进入我不熟悉der领域惹
首先是恶意程序分析篇,
身边有朋友工作是与恶意程序分析相关的,
本来有想说开赛前先稍微询问他,向他请教,
结果不知不觉...时光飞逝XDDDD
根本没有时间机会先找他讨论讨论。
所以今天题目,基本上都还都是我自己随意猜想的。
其实也不仅仅是今天啦哈哈,
从今天开始之後的每篇,几乎都是这样子。
进入题目前,
谈谈我对於逆向工程与恶意程序分析的一些些粗浅的想法,
这系列我目前不确定会不会有逆向工程篇,
而「逆向工程」与「恶意程序分析」两者之间,
我自己觉得是不一样的东西,但某些地方又挺相似的,
感觉恶意程序分析像是逆向工程当中的一个领域,
又不全然完全属於逆向工程的子集,
恶意程序的分析却经常会需要用到逆向工程技术,
但逆向工程的领域感觉更广泛,甚至与资安可能无关联,
恶意程序分析目标与范围似乎更明确。
总之,恶意程序分析算是我有点小兴趣的范围XD
手边有一篇英文书籍还有ADR大神的书籍,
未来希望有时间好好看完并且好好练习过後,
我就能更清楚逆向工程与恶意程序分析的区别了。
静待分析是不执行档案的执行下,透过逆向或是直接查看原始码,分析程序码内容。动态分析则是需要执行该档案或程序,观察程序执行时的行为。恶意程序有时会利用混淆、加壳、与加密技术来增加静态分析的困难性,故在动态分析中,可以更准确的了解程序的行为。
1.等待一定时间程序才会执行
2.确认是否有键盘与滑鼠行为
3.检测磁碟容量或档案数量
加壳防止逆向,利用Base64对要执行的指令进行编码。
翻到这一篇新闻~ 可以参考
https://www.ithome.com.tw/news/144813
PE是Portable Executable的缩写,是Windows当中可执行档案或dll档案的格式,PE结构当中包含了一些Windows执行程序时所需要的一些资讯。
RVA是程序入口点的参考位置,假设程序被放入到虚拟地址(virtual adress. VA)的位址为0x01,而RVA位於0x05,则实际的在记忆体位址中的程序入口点为VA+RVA=0x01+0x05=0x06
IAT是PE文件里面的一种结构,它包含了Windows loader加载动态链接库和导入API函数的位址资讯。
rootkit通常是用来隐藏自身或是木马、後门的恶意程序
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run //Only for current user
Process hollowing是恶意程序使用的一种技术,目的在於规避检测,先运行一个合法的进程,将恶意的进程挂到合法进程上,仅将合法进程用作恶意代码的容器。
窝没做过QQ
最後爆个料(?!,虽然应该也不算料
朋友之前分享过,去面试恶意程序分析相关工作时,
是直接丢一个恶意程序要他分析,写个简单的小报告。
所以建议大家如果是有想要挑战这类型工作,
还是要有点实际der的实作练习经验唷!
我自己是只有玩一些解题的CTF时,
有碰到过一些逆向跟数位监识的题目有点点相关而已。
然後在还很菜的时候,有参加过一次特别CTF,
那次是要产三个恶意程序分析报告,
不过那时候真的是菜逼八,完全靠别人Carry,
也只是一直把档案丢到VirusTotal跟一堆云端沙箱而已哈哈XD
若有要补充也都欢迎留言
前言 我们在 Training 的过程的中,一个很重要的 Part 就是如何出一个 Powerful...
预处理器可以透过加快撰写程序的速度,但是自己的打字速度提升有限(换了Mac之後还变慢不少),Emme...
原文在这: Title: How WhatsApp enables multi-device cap...
今天是最後一天,咱们今天不看程序码,来谈谈现在我们已经学习了 JavaScript,做个总结顺便想想...
last update:2021/10/05 Yolov4 AlexeyAB (https://gi...