恶意代码漏洞分析:CVE-2024-21413
概述 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21413 CVE-2024-21413是Microsoft Outlook 远程代码执行漏洞,称为 Moniker Link 的特定形式的超链接时绕过 Outlook 的安全协议。利用此缺陷,攻击者可以向目标发送包含有害名字……
恶意代码技术理论:反调试技巧
调试标志 https://anti-debug.checkpoint.com/techniques/debug-flags.html 对象句柄 https://anti-debug.checkpoint.com/techniques/object-handles.html 异常 https://anti-debug.checkpoint.com/techni……
Raspberry Robin分析
基本信息 216421829e1ca1bd8c18258b373f0aa9 样本分析 第1层 第一层是单个隔离器 第一层 第2层 第三层在第二层之后,偏移0x3F0处 第二层 第三层偏移 第2层取消原始dll内存映射,并将第三层dll映射到原始dll内存空间,并从入口点执行 第3层 从第3层开始,每个子程序都……
恶意代码技术理论:RTTI(运行时类型信息)
RTTI概述 运行时类型信息(RTTI,Run-time Type Information)是一种在C++中用于在运行时获取和使用类型信息的机制。C++引入这个机制是为了让程序在运行时能根据基类的指针或引用来获得该指针或引用所指的对象的实际类型。但是现在RTTI的类型识别已经不限于此了,它还能通过typeid操作符识别出所有的基本类型(int,指针等)的变量……
恶意代码技术理论:哈希
参考链接:https://mp.weixin.qq.com/s/7WrlFUepch6JhU2NhdSyJw 侵删 spamsum spamsum是一种用于文本、文件和二进制数据的哈希算法,它将数据压缩到一个短字符串中。spamsum的主要应用是在大规模垃圾邮件过滤中,用于查找相似的邮件和判定垃圾邮件。spamsum的算法基于局部敏感哈希(LSH)和信息熵理……
恶意代码技术理论:VMProtect
概述 VMProtect是一款基于虚拟机技术的可执行文件保护工具。它将目标程序转换成一种虚拟机指令集,称为VM代码,这种指令集与目标程序原本的指令集不同。VMProtect还会加密、混淆和优化VM代码,增加破解者分析和逆向的难度。VMProtect还提供了各种反调试和防止破解的技术。 下面分别介绍VMProtect的几个主要原理: 1.虚拟化 VMProte……
恶意代码技术理论:Rich Header
概述 Rich Header 是一种 Windows 可执行文件格式的元数据结构,用于记录程序的编译环境、资源文件、链接库等信息。它通常出现在 PE 文件的最后一个节(section)之后,用于记录程序编译和链接的详细信息,可以帮助调试人员更好地分析和理解程序的结构和行为。 Rich Header 的结构相当复杂,其中包含了多个条目(entry),每个条目都……
恶意代码漏洞分析:CVE-2023-21716
概述 CVE-2023-21716是Microsoft Word 的 RTF 解析器在处理 rtf 文件字体表(\fonttbl)中包含的过多字体(\fN)时产生的堆损坏漏洞。 为什么要开启页堆? 开启页堆是为了方便进行堆相关漏洞的分析和调试。在开启页堆的情况下,当程序在进行堆分配时,操作系统会使用单独的物理内存页来存储分配的堆。这些页是以4KB的大小进行分……
恶意代码技术理论:VBA 调试一些方法
byte转string Private Function ByteArrayToHex(ByRef ByteArray() As Byte) As String Dim lb As Long, ub As Long Dim l As Long, strRet As String Dim lonRetLen As Long, lonPos……
恶意代码技术理论:VBA Debug Print(调试输出)
参考链接:https://www.wallstreetmojo.com/vba-debug-print/ Debug 是 VBA 中的一个对象,与 Assert 和 Print 这两种方法一起使用。在 VBA 中,Debug.Print 语句用于编码程序的任何地方,以在 即时窗口(ctrf+G) 中显示变量或消息的值。这些不需要任何确认,并且不会对开发的代码……