小结
常见的花指令构造方法主要有:
- 0x1 垃圾指令:这些垃圾指令并不影响程序的执行结果和过程,对寄存器也没有影响,但是大量重复的辣鸡指令可以有效阻碍逆向过程
- 0x2 指令膨胀(等价替换):通过使用多条指令替换一条执行,或者起到同样的效果的方法来阻碍逆向分析
- 0x3 绝对执行分支:反汇编器优先反汇编错误分支,使用绝对执行分支插入花指令可以干扰反汇编器反汇编。
- 0x4 打乱执行流:通过打乱执行流,再向中间插入辣鸡指令干扰分析
病毒分析技术(13) ---WannaCry勒索病毒
前言
WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可逆向破解。
病毒分析技术(12) ---GandCrab勒索病毒
前言
呼,历时4天半,终于完成了对GandCrab病毒的分析,这个病毒是在52破解ScareCrowL前辈的帖子上参考借鉴而来,漫漫病毒分析之路,任重且道远,还好,我们拥有巨人的肩膀,让我们看的更远更多。
首先讲一下,为什么分析这个病毒,在四叶草公司实习,几天下来,有点厌倦分析病毒这件事了,哇,想到以后还要干好多年,心态炸了。公司峰哥给我了两个样本,说现在流行勒索和挖矿病毒,客户也中过,叫我去试试分析。然后就有了这篇病毒分析报告。顿时,分析出来有不一样的收获,这是传统病毒不一样的。
一月份,GandCrab勒索软件首次亮相,这是一种着名的恶意软件,分布在黑暗网络上,可能源于俄罗斯,主要针对斯堪的纳维亚和英语国家。……(码字太麻烦了,这里有一份关于GandCrab简介,了解一下:http://baijiahao.baidu.com/s?id=1599794170709869995&wfr=spider&for=pc)
IDA产生的分析数据库(IDA 6.8):https://pan.baidu.com/s/156A8SyhBVMjAKcjlf5SN4Q
一:目录
- 1.目录
- 2.样本信息
- 3.行为分析
- 4.样本分析
- 5.技术总结
windbg学习笔记(5) --内核调试常用命令
- vertarget:用于显示被调试计算机的基本的信息。
- dg:用于显示段选择子的信息
- 有dg的输出结果可以看到,cs段的范围是0x00000000-0xffffffff
- !cpuinfo:显示CPU的信息
