台部落LoopherBear

Frida操作java類的一些記錄這篇筆記主要記錄在使用Frida寫一個測試框架中會需要的Api的使用方法，包括了何時執行獲取當前系統的信息獲取所有加載到當前進程的類信息獲取app的所有加載的類獲取app加載的所有s

2020-07-06 22:43:43

GDB分析數組索引錯誤導致Segmentation fault 最近學習gdb調試的知識，使用gdb調試core文件分析C語言數組索引錯誤所引發的segmentation fault原因。分析前準備設置core dump的大小

2020-06-21 00:57:17

Lab16使用x64dbg調試帶參數程序在分析一些樣本的時候，無論是.exe / .dll程序，或多或少都需要給程序添加參數。尤其是通過命令行給參數使得程序運行起來的。這篇筆記主要記錄的兩個調試方式調試帶參數啓動的.exe程

2020-05-26 20:26:47

使用x64dbg調試dll程序這篇筆記是根據Lab16使用x64dbg調試帶參數程序新增加的，記錄瞭如何調試一個dll文件。在很多時候一些程序會將核心功能放在dll文件內來完成，這樣避免程序被查殺或者被逆向分析，主要手段是通過

2020-05-26 20:26:47

惡意樣本分析-Lab16-01 反調試1分析這個樣本是隨書《惡意代碼分析實戰》第十六章的樣本，主要用來熟悉反調試的一些手段，這個算是樣本分析中需要掌握的基礎知識。這篇筆記會包含了靜態分析和靜態分析。基本要求在分析這個樣本之前

2020-05-26 20:26:47

Windows中一些常用的反調試記錄這裏筆記會記錄一些關於Windows中的反調試技術的彙編代碼，方便後續分析程序時回來查看。反調試技術包括 Windows APIs 調用其他手段檢測調試器 Windows APIs Is

2020-05-25 19:14:57

Lab15-01 常用的反彙編總結在《惡意代碼分析實戰》的第十五章總結了一些常見的反彙編案例，包括線性返回編譯器和非線性返回編譯器的對抗。這裏總結了其中提到的幾個原理，每個都配合着實驗了說明，這篇筆記只是我在做分析時的一些總結，

2020-05-23 18:17:56

Windows7 64bit安裝IDA pro 7.0插件整理對於常用的逆向工具ida，很多時候使用插件能加速分析的速度，例如一些算法的標識，兩個樣本存在的關聯性，yara的使用等，這個筆記是整理一些在日常分析中使用的插件安裝

2020-05-22 17:07:39

簡單進程注入分析樣本來自《惡意樣本分析》Lab12-1.exe Lab12-01.dll 運行程序後，發生了什麼？觀察程序運行信息，會彈出一個對話框提示Press Ok to reboot，點擊確認後會再次彈出，可以肯定程序是

2020-05-22 17:07:39

惡意樣本分析–更新下載器分析這個樣本是一個更新模塊，運行程序後會自動下載相關的模塊並且自動運行。現象程序運行後，啓動了瀏覽器，同時看到創建了一個名爲wupdmgr.exe的進程由於我的環境設置了過了，網絡沒有打開，之後進

2020-05-22 17:07:39

簡單的鍵盤記錄程序分析 **樣本來自《惡意樣本分析》Lab12-2.exe ** Lab12-03.exe和dump出來得payload.exe是同一個程序不是很複雜很適合用來練手，對於新手很友好🤡 程序的目的是什麼這是一個鍵

2020-05-22 17:07:39

GandCrab2.0 脫殼筆記分析記錄有人在2018年的時候就分析過了惡意樣本分析，相關資料可以查看參考部分。由於裏邊有很多可以學習和總結的脫殼技術，因此重新分析這個樣本，這篇文章暫時不做加密和勒索實際功能分析，如果要看分析樣

2020-05-20 15:10:09

一款簡單的反向shell惡意樣本分析樣本來自《惡意軟件分析實戰》第九章的的實驗二。靜態分析基本信息查看樣本信息，發現程序沒有加殼，使用VC++基編寫編譯時間2011/041/30 接着查看字符串，沒有發現有用的信息，

2020-05-15 08:51:57

PE文件簡單分析記錄通常在分析一些樣本時會遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bA

2020-05-12 06:30:35

簡單COM惡意組件分析什麼是COM組件 COM組件是微軟的一個接口標註，全稱是組件對象模型（Component Obejct Model),它可以使不同的軟件組件在不知道其他組件代碼的接口規範時，進行相互間的調用。COM可以支持

2020-05-12 06:30:35