恶意代码技术理论:反调试技巧
调试标志 https://anti-debug.checkpoint.com/techniques/debug-flags.html 对象句柄 https://anti-debug.checkpoint.com/techniques/object-handles.html 异常 https://anti-debug.checkpoint.com/techni……
恶意代码技术理论:RTTI(运行时类型信息)
RTTI概述 运行时类型信息(RTTI,Run-time Type Information)是一种在C++中用于在运行时获取和使用类型信息的机制。C++引入这个机制是为了让程序在运行时能根据基类的指针或引用来获得该指针或引用所指的对象的实际类型。但是现在RTTI的类型识别已经不限于此了,它还能通过typeid操作符识别出所有的基本类型(int,指针等)的变量……
恶意代码技术理论:哈希
参考链接:https://mp.weixin.qq.com/s/7WrlFUepch6JhU2NhdSyJw 侵删 spamsum spamsum是一种用于文本、文件和二进制数据的哈希算法,它将数据压缩到一个短字符串中。spamsum的主要应用是在大规模垃圾邮件过滤中,用于查找相似的邮件和判定垃圾邮件。spamsum的算法基于局部敏感哈希(LSH)和信息熵理……
恶意代码技术理论:VMProtect
概述 VMProtect是一款基于虚拟机技术的可执行文件保护工具。它将目标程序转换成一种虚拟机指令集,称为VM代码,这种指令集与目标程序原本的指令集不同。VMProtect还会加密、混淆和优化VM代码,增加破解者分析和逆向的难度。VMProtect还提供了各种反调试和防止破解的技术。 下面分别介绍VMProtect的几个主要原理: 1.虚拟化 VMProte……
恶意代码技术理论:Rich Header
概述 Rich Header 是一种 Windows 可执行文件格式的元数据结构,用于记录程序的编译环境、资源文件、链接库等信息。它通常出现在 PE 文件的最后一个节(section)之后,用于记录程序编译和链接的详细信息,可以帮助调试人员更好地分析和理解程序的结构和行为。 Rich Header 的结构相当复杂,其中包含了多个条目(entry),每个条目都……
恶意代码技术理论:VBA 调试一些方法
byte转string Private Function ByteArrayToHex(ByRef ByteArray() As Byte) As String Dim lb As Long, ub As Long Dim l As Long, strRet As String Dim lonRetLen As Long, lonPos……
恶意代码技术理论:VBA Debug Print(调试输出)
参考链接:https://www.wallstreetmojo.com/vba-debug-print/ Debug 是 VBA 中的一个对象,与 Assert 和 Print 这两种方法一起使用。在 VBA 中,Debug.Print 语句用于编码程序的任何地方,以在 即时窗口(ctrf+G) 中显示变量或消息的值。这些不需要任何确认,并且不会对开发的代码……
恶意代码技术理论:curl模仿mshta协议下载载荷
curl -H “Accept: /” -H “Accept-Language: ru,en0US;q=0.3” -H “UA-CPU: AMD64” -H “Accept-Encoding: gzip, deflate” -H “User-Agent……
恶意代码技术理论:分级保护域
简介 在计算机科学中, 分级保护域(英语:hierarchical protection domains,经常被叫作保护环(Protection Rings),又称环型保护(Rings Protection)、CPU环(CPU Rings),简称Rings。这是一种用来在发生故障时保护数据和功能,提升容错度,避免恶意操作 ,提升计算机安全的设计方式。这是一种……
恶意代码技术理论:msi恶意代码分析
简介 MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。 MSI文件将程序的组成文件与功能关联起来。此外,它还包含有关安装过程本身的信息。如目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。采用MSI安装的优势在于你可以随时彻底删除它们,更改……