逆向工程

TrojanDownloader(中文:文件下载者病毒)主要通过游戏外挂等方式传播。是一款比较早期的病毒样本,已知最早的入库时间是在2008年,其本身危害性不高,但是由于他的作用,其危害性体现在其所下载的恶意代码上。
为了绕过静态或动态分析工具,恶意软件往往会使用加壳或加密的方法。然而目前,恶意软件使用多种新型技术,不断尝试逃避分类和检测,而反病毒产品则不断扩充自己的样本库,二者间实际上已经在进行着一场“军备竞赛”。
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。
该病毒是一个可以结束大多数杀毒软件的恶意程序,病毒通过微软一个漏洞来加载驱动程序,该漏洞是内核的函数发生栈溢出导致,使得R3程序可以在0环执行任意代码,驱动加载后结束反病毒软件。
日前,360互联网安全中心追踪发现了一起路由器网络劫持的案例,经分析发现,始作俑者竟是网友家里的路由器。
 Sysmon是微软的一款轻量级的系统监控工具,经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动。本文讨论不是如何去使用该工具,而是讲解该软件的原理与实现。
TJCTF2018,面向高中生的比赛,前天结束,题目不算难,AK了RE&&PWN,不过最后一个PWN做的时候有些意思,放在最开始。
我们的解法包含一个0 day,前几天也刚刚被Eat Sleep Pwn Repeat队伍的@_niklasb大佬发现,且在最新的更新中已被修复。我们决定尽可能详细的编写这篇文章,以展示我们全部的工作过程。
经过深入分析,作者得出了原始LokiBot样本已被第三方组织修改的结论。目前,这个组织正在售卖此变种病毒,并且此变种病毒在多个恶意活动中被利用。
上一篇讲解了如何加载一个Luac文件到IDA Pro当中,加载进入idb数据库的内容犹如切好洗净的食材,并不能粗暴的直接展示给用户,还需要IDA Pro中的处理器模块对内容进行下一步的反汇编渲染与指令功能注释。