2018/11/08-调试器-《恶意代码分析实战》

  调试器是用来检测或测试其他程序运行的以来软件或硬件。由于刚完成的程序包含错误,因此调试器在软件开发过程中可以大显身手。调试器让你能够洞察程序在执行过程中做了什么。调试器的目的是允许开发者监控程序的内部状态和运行。

  从调试器获得程序的信息可能比较困难,但并不意味着不可能,可以从反汇编器中获得所需信息。反汇编会在程序执行第一条指令前,立即提供程序的快照。当程序执行时,调试器的目的是允许开发者监控程序的内部状态和运行。

  调试器监控程序执行的能力在恶意代码分析过程中扮演着十分重要的角色。调试器允许你查看任意地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序执行的任何东西。例如,你可以在任意时刻改变任意一个变量的值——前提条件是你需要获得关于这个变量的足够信息,包括在内存中的位置。

  

原文地址:https://www.cnblogs.com/Fingerprint/p/9932798.html

时间: 2024-10-09 13:42:59

2018/11/08-调试器-《恶意代码分析实战》的相关文章

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

做完这几道恶意代码分析实战题,十一回来老板就给涨薪!

十一长假要来啦~ 好多同事都提着行李,下班就去几场火车站的,小编这代码还没敲好,担心有人来黑,实在不放心. 话说知己知彼才能百战不殆,放假前把这几个恶意代码的实验做了,谁也动不了我的网站! 不会查找恶意代码的程序员不是好攻城狮.. 尽管恶意代码以许多不同的形态出现,但分析恶意代码的技术是通用的.你选择使用哪项技术,将取决于你的目标.如何防范恶意代码的恶意程序进行恶意行为呢? <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实

《恶意代码分析实战》学习笔记(1)

第一章 静态分析技术 常见的DLL程序 DLL 描述 Kernel32.dll 包含系统的核心功能,如访问和操作内存.文件和硬件 Advapi32.dll 提供了对核心Windows组件的访问,比如服务管理器和注册表 User32.dll 包含了所有用户界面组件,如按钮.滚动条以及控制和响应用户操作的组件 Gdi32.dll 包含了图形显示和操作的函数 Ntdll.dll Windows内核的接口.可执行文件通常不直接导入这个函数,而是由Kernel32.dll间接导入,如果一个可执行文件导入了

《恶意代码分析实战》之基础步骤

静态分析: 1,virus total反病毒引擎搜索2,MD5计算哈希值3,用PEid检测是否加壳,并进行脱壳操作4,stringe.exe查看恶意代码的字符串,从中可以看到是否含有特殊的网址,IP地址,特殊的导入函数,比如读写文件,赋值文件,自启动,记录键盘的函数...5,用Dependency Walker 查看导入函数,可以猜出这个恶意代码大致的功能.如果导入函数表过于简介,说明可能是加壳过后的文件6,用PEview 查看文件头和分节,可以查看到文件的时间戳,但是时间戳可以作假.7,用Re

恶意代码分析实战-PE资源提取

场景 1.提取恶意代码中的资源部分内容 思路 存在Loadresource函数的时候说明有一部分内容在资源里. 技术点 Lab1-4 ResourceHacker打开保存资源,载入IDA查看 原文地址:https://www.cnblogs.com/17bdw/p/10254660.html

2018/10/03-函数调用约定、cdecl、stdcall、fastcall- 《恶意代码分析实战》

cdecl是最常用的约定之一,参数是从右到左按序被压入栈,当函数完成时由调用者清理栈,并且将返回值保存在EAX中. stdcall约定是被调用函数负责清理栈,其他和cdecl非常类似. fastcall调用约定跨编译器时变化最多,但是它总体上在所有情况下的工作方式都是相似的.在fastcall中,前一些参数(典型的是前两个)被传到寄存器中,备用的寄存器是EDX和ECX(微软fastcall约定).如果需要的话,剩下的参数再以从右到左的次序被加载到栈上.通常使用fastcall比其他约定更高效,因

2018/10/03-字符串指令(重复指令、操作数据缓冲区指令)、rep与movx指令-《恶意代码分析实战》

重复指令是一组操作数据缓冲区的指令.数据缓冲区通常是一个字节数组的形式,也可以是单字或者双字.(Intel'称这些指令为字符串指令) 最常见的数据缓冲区操作指令是movsx.cmps.stosx和scasx,其中x可以是b.w后者d,分别表示字节.字和双字.这些指令对任何形式的数据都有效. 在这些操作中,使用ESI和EDI寄存器.ESI是源索引寄存器,EDI是目的索引寄存器.还有ECX用作计数的变量. 这些指令还需要一个前缀,用于对长度超过1的数据做操作.movsb指令本身只会移动一个字节,而不

20145234黄斐《网络对抗技术》实验四,恶意代码分析

恶意代码 概述 恶意代码是指故意编制或设置的.对网络或系统会产生威胁或潜在威胁的计算机代码.最常见的恶意代码有计算机病毒(简称病毒).特洛伊木马(简称木马).计算机蠕虫(简称蠕虫).后门.逻辑炸弹等. 特征: 恶意的目的,获取靶机权限.用户隐私等 本身是计算机程序,可以执行,并作用于靶机 通过执行发生作用,一般来说不运行是没问题的 恶意代码分析 在大多数情况下,进行恶意代码分析时,我们将只有恶意代码的可执行文件本身,而这些文件并不是我们人类可读的.为了了解这些文件的意义,你需要使用各种工具和技巧

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals