前言
恶意代码分析是安全从业人员非常重要的一个技能 。
之前提到过SSDT hook隐藏和PEB断链隐藏,今天接触一下其他的 。
参考书籍:<<恶意代码分析实战>>
Lab13-1
这里先运行一下,可以看到对一个网站的请求 。
文章插图
然后用IDA查看,没有看到这个域名相关的信息 。
【PC端恶意代码隐藏手段对抗】
文章插图
看到这里抽取资源文件,并对资源文件进行了异或操作 。
文章插图
文章插图
文章插图
这里我们对资源文件提取,进行异或操作,可以看到域名 。
文章插图
文章插图
文章插图
之后再调用了一个函数,获得主机名 。
文章插图
这里之后调用一个函数,我们用od看一下这里干了啥 。
文章插图
文章插图
可以知道这里进行了base64编码
然后发送请求
文章插图
读取返回内容 。
然后进行判断 。
文章插图
Lab13-2
用IDA打开 。
文章插图
GetTickCount
GetTickCount返回(retrieve)从操作系统启动所经过(elapsed)的毫秒数,它的返回值是Dword 。
函数解除锁定的内存块,使指向该内存块的指针无效
GlobalFree
释放指定的全局内存块
GetSystemMetries
通过设置不同的标识符就可以获取系统分辨率、窗体显示区域的宽度和高度、滚动条的宽度和高度 。
GetDesktopwindows
该函数返回桌面窗口的句柄 。桌面窗口覆盖整个屏幕 。桌面窗口是一个要在其上绘制所有的图标和其他窗口的区域 。
该函数检索一指定窗口的客户区域或整个屏幕的显示设备上下文环境的句柄,以后可以在GDI函数中使用该句柄来在设备上下文环境中绘图 。
推荐阅读
![[孕妇专用文胸]孕妇专用文胸有用吗 孕妇可以穿吗](http://imgs.tom.com/product/201802/THUMBNAIL30382570888348DD.jpg)
![[腾讯科技]硅谷如何毁掉了我们原本该有的朝九晚五的生活](http://ttbs.guangsuss.com/image/051c99440cd7a3dae4cbbb91a9c9f7ba)
- 后端踩坑笔记:记一次基于swoole开发的程序丢任务排查修复过程
- 苍兰诀|2022黑马剧汇总,《开端》王炸,《苍兰诀》暴走,爱奇艺成大赢家
- 源代码的结局是什么意思 源代码的结局
- 防火墙 CentOS 7 firewall开放端口/删除端口/查看端口
- windows下如何查看某个端口占用
- 后端程序员的 VUE 超简单入门笔记
- 原理及代码实现 Redis分布式锁最全详解
- 谷歌在Gmail中引入端到端加密
- 爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用
- 端午节趣味活动有哪些