记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

PE Tree:一个恶意软件逆向工程分析开源工具

近日,由BlackBerry Research and Intelligence团队开发的PE Tree——一种恶意软件逆向工程开源工具,现已向网络安全社区免费提供。PE Tree允许恶意软件分析人员使用pefile(可解析和使用PE文件的多平台Python模块)以及PyQt5(可用于创建图形用户界面)在树状视图中查看可移植可执行(PE)文件。“PE Tree用Python开发,支持Windows、Linux和Mac操作系统。它可以作为独立应用程序或IDAPython插件安装和运行。”BlackBerry威胁研究人员Tom Bonner解释说。基于Python的工具可解析PE文件并将其映射到树视图中,它们提供了各种标头的概述。突出显示可疑的结果,分析人员可以通过VirusTotal搜索,将PE文件的一部分导出到
发布时间:2020-08-07 17:44 | 阅读:836 | 评论:0 | 标签:技术产品 首页动态 PE Tree 开源工具 恶意软件 逆向工程分析 逆向

BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree

在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具——PE Tree。PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE文件的逆向工具。因为面向的是逆向工程师和社区,PE Tree还融合了HexRays IDA Pro反编译器的功能,可以查看PE结构、复制内存中的PE文件并执行导入重构。概览PE Tree是用python开发的,支持Windows、Linux和macOS 操作系统。可以以独立应用安装和运行,也可以以IDAPython插件的形式安装和运行。图 1.标准应用图 2. IDAPython插件PE文件在映射为树形之前会用Ero Carrera的 pefile 模
发布时间:2020-08-06 12:35 | 阅读:1098 | 评论:0 | 标签:逆向

逆向学习fastjson反序列化始

前言   Fastjson这款国内知名的解析json的组件,笔者在此就不多介绍,网络上有很多分析学习fastjson反序列化漏洞文章。笔者在此以一种全新角度从分析payload构造角度出发,逆向学习分析fastjson反序列化漏洞始末。ps:漏洞学习环境以代码均在上传Github项目。初窥Payload   下面是一段最简单Fastjson的版本号反序列化--URLDNS代码,观察发现可以提出一个问题@type作用?import com.alibaba.fastjson.JSON;public class urldns { public static void main(String[] args) { // dnslo
发布时间:2020-07-29 12:20 | 阅读:3258 | 评论:0 | 标签:逆向 学习

自动化逆向辅助利器 -- Capa工具介绍

概述近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。安装使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测
发布时间:2020-07-28 18:20 | 阅读:1916 | 评论:0 | 标签:逆向 自动化

计客蓝牙魔方协议逆向分析

 0x00 前言本文大致记录了一个,对于蓝牙魔方中的协议逆向分析的步骤。去年年初的时候,对蓝牙有一点儿兴趣,搞了搞ubertooth one(好像是叫这个名字? 进不清楚了),用来嗅探蓝牙数据的,然后顺手又买了一个计客的魔方,带蓝牙功能的,简单来说就是基于蓝牙和手机的数据传输,将魔方的状态输出到手机上,以此来实现一些好玩的小功能的(诶再说下去感觉像是在打广告了)这个其实没啥太多干货,甚至没有知识点,总的来说,仅仅是记录一个,处理问题接近问题的思路,具体关于拧动魔方的方向,这里也不提了,回头带一个魔方入门教程在结尾的参考中吧。 0x01 基础逻辑推理分析在着手分析之前,其实需要搞明白一个问题,这个玩具,它是怎么通过和手机建立蓝牙连接后,将自己的状态同步到手机上的。首
发布时间:2020-07-28 18:04 | 阅读:1847 | 评论:0 | 标签:逆向

自动化逆向辅助利器 — Capa工具介绍

概述  近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。 工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。   安装 使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。  
发布时间:2020-07-28 15:18 | 阅读:2293 | 评论:0 | 标签:工具 ATT&CK向量 C&C连接 capa Dtrack后门 IDA插件 字符串 导入函数 恶意代码 持久化驻留 汇编

Hacking All The Cars之CAN总线逆向

本文主要是通过ICSim(Instrument Cluster Simulator)模拟CAN协议通信,通过实践对CAN总线协议进行逆向分析。在实践过程中踩过一些坑,这里跟大家分享交流。简介CAN(Controller Area Network)总线是制造业和汽车产业中使用的一种简单协议,为ISO国际标准化的串行通信协议。在现代汽车中的小型嵌入式系统和ECU能够使用CAN协议进行通信,其通信是采用的广播机制,与TCP协议中的UDP差不多。各个系统或ECU(电子控制单元)都可以收发控制消息。1996年起该协议成了美国轿车和轻型卡车的标准协议之一,但是直到2008年才成为强制标准(2001年成为欧洲汽车标准)。当然1996年之前的也有可
发布时间:2020-07-28 08:06 | 阅读:2869 | 评论:0 | 标签:逆向

逆向分析微软IFEO镜像劫持从ring3到ring0的实现机理

 IFEO(Image File Execution Options )是设置在Windows注册表中,创建IFEO注册表项的目的是让开发人员可以选择调试他们的软件,是为了开发人员可以使用注册表项将任何程序附加到任何可执行文件,但是很多被利用了去实现进程注入。很多只知道ring3的部分机制,但是并不知道完整的机制,今天们就来分析下它的ring3到ring0的整个过程的机理。开发一个小的test.exe解析命令行,为了方便上调试器调试加上Messagebox 弹框编译后,我们可以修改注册表演示下IFFO**HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution O
发布时间:2020-07-23 19:16 | 阅读:2704 | 评论:0 | 标签:逆向

“黑”掉神经网络:通过逆向模型文件来重构模型后门

技术是强大的,它让梦境成为可能;技术是脆弱的,它让日常暗藏危机!开车行驶在回家路上,拿出手机对准摄像头,用一句语音唤起“Siri”,让它完成播放音乐的简单指令,仅用时30秒,你便完成了一次与神经网络的交互体验。伴随科技的快速发展,深度学习与AI技术在现实中拥有了愈发多样而灵活的应用场景,而深度学习在计算机视觉任务中获得的巨大成功,也令神经网络的安全问题逐渐暴露。此前,一项来自日本的研究表明,搞垮强大的神经网络,仅需修改图片上的一个像素,导致的危害不仅仅是让神经网络认错图片,甚至还可以诱导它返回特定的结果。可见,深度学习模型具备天生的安全隐患,因此在传统的诸多案例中我们也看到,大量的研究者通过数据投毒的方式对模型植入后门,以实现攻击的核心目的。随着技
发布时间:2020-07-21 12:42 | 阅读:2032 | 评论:0 | 标签:后门 逆向

逆向学习笔记之dll注入

 概念DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。从技术细节来说,DLL注入命令其他进程自行调用LoadLibrary() API,加载用户指定的DLL文件。DLL注入与一般DLL加载的区别在于,加载的目标进程是自身或其他进程。可以简单理解为把你想执行的代码写在dll文件里,然后注入目标进程执行代码。 具体场景dll的应用场景有很多,比如改善功能与修复bug,消息钩取,API钩取,恶意代码等场景,这里我将dll注入用于黑盒测试,方便理解dll注入的功能。在一些比较复杂的程序里,特别是一些进行大量代码混淆的程序里,我们静态分析往往是很困难的,动态调试多种不同输入又十分耗时耗力,这种情况下黑盒测试就成了分析函数的好办法。这里方便理解,我编写了一个特别简
发布时间:2020-07-14 20:33 | 阅读:5379 | 评论:0 | 标签:注入 逆向 学习

那个很燃的偶像剧过去了一年,剧中的“黑客”大赛却更火了

导读:去年7月9日,《亲爱的,热爱的》开播,你的“现男友”李现饰演的男主角韩商言的战队在CTF国际大赛中夺冠,让青春梦想的成为现实的同时,也为国争光。 如今,这部热播剧过去了整整一年,但CTF却热度不减。本文就简单聊聊CTF,并带你走近2017年XCTF的冠军战队——FlappyPig。 01 什么是CTF CTF全称为“Capture The Flag”,一般翻译为“夺旗赛”,源自西方的一种传统户外游戏:比赛的目的就是夺取位于对方“基地”里的旗帜,然后带着旗子安全返回自己的基地。当然实际规则还要更复杂一些,感兴趣的同学可以自行了解。 后来,“夺旗”的概念被引入信息安全攻防比赛,因为在比赛中,选手需要通过解开题目,或攻破目标夺得“Flag”。  02 当我们在打CTF的时候,其实是
发布时间:2020-07-13 18:56 | 阅读:4808 | 评论:0 | 标签:业务安全 Capture the Flag ctf King of The Hill 夺旗赛 审计 攻防 攻防) 漏洞

硬件安全系列——ARM Cortex-M4固件逆向分析

 0x00 前言大家好, 我是来自银基 Tiger-Team 的 KEVIN2600. 今天想跟大家分享如何使用 Ghidra对ARM固件进行逆向破解的有趣案例. 希望通过本文能够让大家对嵌入式系统固件逆向有更多的了解. 0x01 Ghidra探索之旅Ghidra是一款由美国NSA发布的功能强大且开源的逆向分析工具. 用户能够在多种平台上分析编译后的代码. 功能包括反汇编,汇编,反编译,绘图和脚本等. Ghidra支持多种处理器指令集和可执行格式. 可以在用户交互模式和自动模式下运行. 用户还可以使用公开的API开发自己的Ghidra插件和脚本.让我们先热个身来看一道CTF送分题吧. 题目要求很简单, 只要输入正确的Password便可以得到 Flag通过file
发布时间:2020-06-30 13:51 | 阅读:6040 | 评论:0 | 标签:逆向

Hacking All The Cars - CAN总线逆向

 大家好,我是来自银基Tiger Team的BaCde。本文主要是通过ICSim(Instrument Cluster Simulator)模拟CAN协议通信,通过实践对CAN总线协议进行逆向分析。在实践过程中踩过一些坑,这里跟大家分享交流。 简介CAN(Controller Area Network)总线是制造业和汽车产业中使用的一种简单协议,为ISO国际标准化的串行通信协议。在现代汽车中的小型嵌入式系统和ECU能够使用CAN协议进行通信,其通信是采用的广播机制,与TCP协议中的UDP差不多。各个系统或ECU(电子控制单元)都可以收发控制消息。1996年起该协议成了美国轿车和轻型卡车的标准协议之一,但是直到2008年才成为强制标准(2001年成为欧洲汽车标准)。
发布时间:2020-06-28 16:09 | 阅读:11712 | 评论:0 | 标签:逆向

如何使用Frida对Windows平台的程序进行逆向分析

 Frida是目前比较流行的基于JavaScript的Hook框架。已经在移动安全的研究中得到了广泛的应用。最近我们发现,Frida或许可以在Windows平台上也大展身手。我们认为Frida是可以用于Windows平台的逆向工具之一,但是在我们测试过程中发现Frida不能进行符号查找,这也是之前Frida一直没有在Windows平台得以广泛使用的重要原因。于是我们对Frida进行了改进,现在Frida12.9.8已经具备了此功能。 我们非常感谢Ole André Vadla Ravnås所提供的帮助。 Frida12.9.8改进总的来说,Frida使用deghelp.dll 提供的API在Windows平台中查找符号,但是它缺少了符号服务器的支持。于是我们增加了
发布时间:2020-06-18 18:34 | 阅读:9800 | 评论:0 | 标签:逆向

对基于VxWorks OS的路由器进行逆向研究

基本介绍对于CPU体系结构,操作系统和文件系统来说,嵌入式设备是一个广阔的世界。你可以找到可以想到的各种架构组合,我将在本文介绍有关TP-Link TL-WR543G的研究,我在家中使用的旧路由器是MIPS CPU,是VxWorks的操作系统。 https://static.tp-link.com/resources/document/datasheet/TL-WR543G_ds.zip https://www.windriver.com/products/vxworks/在此文章中,我将向你展示此基于VXWorks的设备的逆向过程,我将描述我的漏洞发现,以及在处理固件和二进制分析时出现的问题,记录一下分析过程。VxWorks概
发布时间:2020-06-12 12:03 | 阅读:11885 | 评论:0 | 标签:逆向

逆向 Flutter 应用(第一部分)

 第一章 掉进兔子洞要开始这段逆向旅程,先来了解一下 Flutter 是如何工作的。可能你早就知道:渲染管道和组件库是 Flutter 的基石,也是 Flutter 能够跨平台并在不同设备上保持设计一致性的根本。和大多数平台不同,Flutter 框架的所有基础渲染组件(包括动画、布局、绘画等)全部是公开的,见 package:flutter。这是官方 wiki 中 Flutter 引擎的架构图:从逆向角度来说,最有意思的当然是 Dart 层,app 的逻辑可都在这儿。那 Dart 层长什么样呢?Flutter 把 Dart 编译成 native 层的汇编代码和使用格式,现在还没有公开的详细文档,更别说反编译重打包了。反观其他平台,比如 React Native,压
发布时间:2020-05-21 18:53 | 阅读:19602 | 评论:0 | 标签:逆向

公告

学习黑客技术,传播黑客文化

推广

工具

标签云