原创 物聯網IoT安全教程(五)-- 修復固件運行環境
之前我們學習瞭如何模擬運行IoT固件,但是,現實中並不是所有固件都能模擬運行成功,比如固件運行可能依賴於硬件,qemu無法完全模擬,所以,本節我們就來學習如何修復固件的運行環境,從而成功模擬固件運行。 我們本次使用的固件是D-Li
2020-06-21 01:34:49
31
原创 Github自動更新腳本
使用命令行更新代碼到Github時,要輸入多條git指令,步驟繁瑣,下面我們就來編寫一個bat腳本,實現自動化更新github。 腳本代碼如下,其中的路徑改爲你自己的代碼路徑。 @echo off echo
2020-06-21 01:34:49
15
原创 病毒分析教程第八話--idapython使用
IDAPython是IDA的一款強大的插件,通過它可以對病毒代碼做一些自動化的操作,常用於彙編碼反混淆和解密。接下來我們嘗試使用該工具來解密病毒代碼。 本次實驗的樣本爲:F834F898969CD65DA702F4B4E3D83D
2020-06-21 01:34:49
4
原创 自動化規則提取工具--yargen原理分析
yara是用來檢測惡意軟件的利器,yara規則由特徵字符串、特徵字節碼等元素組成,只要惡意軟件包含這些特徵元素,就說明該文件是惡意的。但一個一個文件提特徵是很耗人力的,所以業界就慢慢出現了一些出色的yara自動化提取工具,yarG
2020-06-21 01:34:39
23
原创 Windows驅動學習(五)-- 鍵盤過濾
教程參考自:https://www.bilibili.com/video/av26193169/?p=5 代碼地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT-K
2020-06-03 19:18:38
20
原创 病毒分析教程第七話--進程注入分析(上)
進程注入分析(上) 教程參考自《惡意代碼分析實戰》 程序來自:http://www.nostarch.com/malware.htm Lab 12-1 本節實驗使用樣本Lab12-01.exe和Lab12-01.dll。 在你
2020-06-03 19:18:38
9
原创 DLL劫持原理&防禦方法
1.原理介紹 DLL劫持指的是,病毒通過一些手段來劫持或者替換正常的DLL,欺騙正常程序加載預先準備好的惡意DLL。 如下圖,LPK.dll是應用程序運行所需加載的DLL,該系統文件默認在C:\Windows\system32路徑
2020-06-03 19:18:28
18
原创 病毒分析教程第十二話--使用fakenet-ng模擬C&C連接
樣本MD5:E8F57996607F41B951F201F2CAFAE15D,下載地址:https://app.any.run/tasks/add02a26-c07f-49cd-8d7d-a1791369c862。這是一個木馬,但
2020-03-06 13:21:46
28
原创 yargen工具原理分析
yara是用來檢測惡意軟件的利器,yara規則由特徵字符串、特徵字節碼等元素組成,只要惡意軟件包含這些特徵元素,就說明該文件是惡意的。但一個一個文件提特徵是很耗人力的,所以業界就慢慢出現了一些出色的yara自動化提取工具,yarG
2020-02-29 22:40:44
16
原创 物聯網IoT安全教程(四)-- 解密路由器固件
本次我們要研究的是路由器Dlink-882的固件,下載地址在ftp://ftp2.dlink.com/PRODUCTS/DIR-882/REVA/,其中的zip文件就是各版本的固件。 解壓出來的固件版本從舊到新依次爲:FW100
2020-02-28 19:35:57
2
原创 病毒分析教程第十一話 -- 使用IDA內存快照獲取函數&變量
樣本下載地址: https://www.hybrid-analysis.com/sample/31e8a11960d0492b64241354c567643f09f0e0278658d31e75d6f2362dbfae44/589
2020-02-28 19:35:57
4
原创 物聯網IoT安全教程(一)-- 提取 IoT 固件
PS:本文所用到的程序見 – https://github.com/G4rb3n/IoT_Sec_Tutorial 首先我們需要安裝固件提取工具 binwalk,由於該工具的安裝流程比較繁瑣,建議直接使用Kali Linux,該系
2020-02-22 15:41:39
2
原创 病毒分析教程第十話--動態解密payload
近年來,惡意軟件越來越多的使用自己編寫的加密算法。這就是爲什麼很多情況查殼工具並沒有檢測出殼,但惡意代碼還是被混淆的原因,下面,我們就來學習下如何動態解密惡意軟件中的payload。樣本:61c19e7ce627da9b50043
2020-02-22 15:41:39
34
原创 物聯網IoT安全教程(三)-- 動態分析IoT固件
PS:本文所用到的程序見 – https://github.com/G4rb3n/IoT_Sec_Tutorial 動態分析固件之前,需要先把固件運行起來,但我們手頭又沒有路由器、攝像頭之類的物聯網硬件,該如何運行呢?這就需要虛擬
2020-02-22 15:41:39
26
原创 物聯網IoT安全教程(二)-- 靜態分析IoT固件
PS:本文所用到的程序見 – https://github.com/G4rb3n/IoT_Sec_Tutorial 得到固件後,若直接打開,會發現該固件被加了密,無法直接解壓縮,這是廠商對該固件做了保護,防止大家逆向分析他的固件。
2020-02-22 15:41:39
27