台部落G4rb3n

惡意軟件爲了避免靜態檢測，通常會動態生成&調用敏感的字符串及系統API，這種情況就無法單純使用IDA進行分析了，得進行調試動態地獲得這些值。而IDA有個遠程調試的功能，很實用，我們下面就來學習如何使用IDA進行遠程調試。樣本還是上

2020-02-22 15:41:39

CMD命令 fsutil fsinfo drives 可以獲取主機本地磁盤的列表：接下來只需要用python篩選出返回結果中的盤符字符串即可： (os.popen('fsutil fsinfo drives').read())

2019-07-30 09:45:01

原理圖文件名功能 1001.exe 主模塊 camhgzsswk.sys 釋放模塊 p2phook.sys 釋放模塊的克隆 p2pc.ini 攻擊模塊配置文件 safemon.dll 注入攻擊模

2019-06-30 00:45:17

樣本MD5：297DE74CB20A975EFAF20CD88FDDF270 在逆向分析時遇到VMP殼總是令人頭疼，因爲要源文件完美地從VMP殼中脫出來非常的困難。相比於VMP完美脫殼，帶殼調試要簡單許多，而且已經能滿足調試分析的

2019-06-29 11:40:50

最近的驅動人生，由於採用了自增肥技術，導致每次生成的病毒文件，MD5不一樣，導致殺軟無法通過入庫進行查殺，如下所示，這些文件都是驅動人生病毒變種，文件大小以及MD5都不相同。通過逆向分析，得知該病毒自增肥的原

2019-06-11 05:12:40

教程參考自：https://www.bilibili.com/video/av26193169/?p=12代碼地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT

2019-04-18 00:14:32

進程注入分析（中）教程參考自《惡意代碼分析實戰》程序來自：http://www.nostarch.com/malware.htmLab12-4本節實驗使用樣本Lab12-04.exe。這個程序的目的是什麼？從資源節加載惡意pa

2019-04-10 10:19:53

首先，該病毒會通過永恆之藍漏洞、域控PSEXEC、SMB爆破、MSSQL爆破進行傳播，在清除之前，需要先確保打上了MS17-010補丁、域控服務器安全、更換高強度密碼、更換高強度MSSQL密碼。殺死病毒進程病毒進程svchost下

2019-03-20 00:21:01

python的便利性，使得如今許多軟件開發者、黑客都開始使用python打包成exe的方式進行程序的發佈，這類exe有個特點，就是可以使用反編譯的方法得到程序的源碼，是不是很神奇？我們接下來就開始學習如何反編譯有python打包成的e

2019-03-07 13:59:06

1. 安裝Lua環境使用Lua for Windows可以一鍵安裝Lua環境，很方便：https://github.com/rjpcomputing/luaforwindows/releases 安裝成功後，就可以使用Lua編程了

2019-02-19 20:53:18

進程注入分析（中）教程參考自《惡意代碼分析實戰》程序來自：http://www.nostarch.com/malware.htm Lab 12-2 & Lab 12-3 本節實驗使用樣本Lab12-02.exe。這個程序的目

2019-02-19 06:51:14

進程注入分析教程參考自《惡意代碼分析實戰》程序來自：http://www.nostarch.com/malware.htm Lab 12-1 本節實驗使用樣本Lab12-01.exe和Lab12-01.dll。在你運行惡意代

2019-02-14 21:17:44

教程參考自：https://www.bilibili.com/video/av26193169/?p=10 代碼地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT-Ca

2019-02-14 21:17:33

1. 概述 Mirai病毒是物聯網病毒的鼻祖，由於其具備了所有殭屍網絡病毒的基本功能（爆破、C&C連接、DDoS攻擊），後來的許多物聯網病毒都是基於Mirai源碼進行更改的。所以對研究Mirai的源碼可以讓我們對物聯網病毒有個全面的瞭

2019-01-09 21:03:41

138

教程參考自：https://www.bilibili.com/video/av26193169/?p=9 代碼地址：https://github.com/G4rb3n/Windows-Driver/tree/master/MT_Inl

2019-01-04 17:50:46