记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe

0x00 前言2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以我写了这篇面向初学者的教程,希望帮助大家。0x01 简介本文将要介绍以下内容:样本实际运行流程IDA动态调试方法具体调试tasksche.exe的过程0x02 样本分析测试环境: Win 7 x86测试工具: IDA 6.8样本下载地址:http://bbs.pediy.com/thread-217586-1.htm经测试,该样本为WanaCrypt0r母体mssecsvc.exe释放出的敲诈者程序tasksche.exe因此不包含“Kill Switch”开关和MS17-010漏洞
发布时间:2017-05-19 12:50 | 阅读:212702 | 评论:0 | 标签:技术 IDA WanaCrypt0r 逆向分析

初探Windows Fuzzing神器—-Winafl

这是一篇客座文章,作者是乌云二进制漏洞挖掘白帽子 k0shl 。其实上个月17号,本文就已经写完了,但是我们一直“捂”到了今天。算是给二进制方向的白帽子的七夕礼物吧 : ) 0x01 什么是winafl 其实说的afl-fuzz大家都不会很陌生,afl-fuzz是Linux用于fuzz文件格式,协议等二进制漏洞的神器,而winafl则是afl-fuzz的Windows版,最近我对winafl进行了一些浅层研究,由于之前也进行过一段时间的二进制漏洞挖掘,但基本上都是停留在手工挖掘上,越发觉得自动化神器功能的强大,也为以后自己开发fuzz工具提供了很重要的指导依据。   Winafl到底是什么? Winafl是windows下一种挖掘文件格式,协议漏洞的半自动化工具,为什么说半自动化呢,因为针对特定的软件
发布时间:2016-08-14 13:15 | 阅读:195635 | 评论:0 | 标签:系统安全 afl-fuzz DynamoRIO Fuzz IDA k0shl lstrcpyA memcpy OLLYD

爱奇艺招聘移动端和桌面端安全工程师

爱奇艺(iQIYI.COM)网络视频播放平台是国内首家专注于提供免费、高清网络视频服务的大型视频网站。现招聘移动端和Windows桌面端安全工程师。 移动安全工程师 (Android Or IOS) 15K/M – 25K/M 工作地点 上海 or 北京 岗位职责 1. 负责APP(Android 或 IOS)安全需求的提出、安全设计、代码审计、安全测试,提高APP的安全性; 2. 协助开发人员进行客户端全方位的代码审计工作;并及时给出相应的修正措施; 3. 负责建设内部APP发布前安全检测认证平台 职位要求 1、具有相关工作经验2年以上,有较强的逆向工程能力,熟练掌握至少一种逆向工具和安全检测扫描 2. 熟悉APP(Android 或 IOS) 客户端的反编译、防动态调试、透明加密、防劫持、内存保护、进程监控
发布时间:2015-07-04 04:10 | 阅读:75673 | 评论:0 | 标签:招聘 IDA WINDBG 代码审计 反编译 漏洞挖掘经验 调试分析工具 逆向分析 防动态调试 移动

[置顶] IDA Pro 6.6 Full Leak!!! 含bin安装文件, IDA 6.6 SDK

没想到IDA pro 6.6外泄,太激动了.外泄版本还没有过期,只不过Hex-Rays公司已经封key了,外泄版本不能更新了.  下载地址(包括SDK):版本:6.6.141224打包绿色版:http://pan.baidu.com/s/1kTsXZiJ 密码:jj5q 版本:6.6.140604安装版:http://pan.baidu.com/s/1nt61ea9 密码:j41g  安装密码 itJpyHidszaRIDA 6.6 SDK(TOOLs):http://pan.baidu.com/s/1bn3xGqb 密码:dlez相关链接:http://bbs.pediy.com/showthread.php?p=134
发布时间:2015-01-15 13:19 | 阅读:301683 | 评论:0 | 标签:IDA

火眼(FireEye)实验室FLARE IDA Pro脚本系列:MSDN注释插件

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍火眼实验室的高级逆向工程(简称“FLARE”)团队继续把知识和工具分享给社区。本系列博文以一个用于“自动化恢复恶意程序中的结构化字符串”的脚本作为开头。‍‍‍‍‍‍‍‍像往常一样,你可以下载这些脚本,下载位置‍‍‍‍https://github.com/fireeye/flare-ida。我们真诚地希望这些脚本能对你有所帮助。‍‍‍‍‍‍‍‍‍‍‍‍‍‍一、动机‍‍‍‍‍‍‍‍‍在FLARE团队暑假实习期间(PS:唉,俺是没机会了,路费太贵了!),我的目标是开发一个IDA python插件,用于加快在IDA Pro中的逆向工作流程。‍‍‍和团队一起分析恶意代码样本时,我意识到从MSDN网站上查找函数、参数和常量等信息占用了大部分时间。由于要频繁切换到开发手册,逆向
发布时间:2014-09-15 13:05 | 阅读:75519 | 评论:0 | 标签:工具 IDA 插件 自动注释 逆向

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云