前言
《缓冲区溢出分析》这一系列的内容是我为“i春秋”所录制的同名视频课程的讲稿汇总。每次我都是在写完课程的文档后,再依据文档内容进行课程的讲解。而本系列的内容也是从零开始,来给大家由浅入深地进行缓冲区溢出漏洞的讲解。整个课程是理论与实践相结合,每讲完几个基础理论后,都会配以实际的软件中的漏洞进行分析,以帮助大家更好地理解漏洞的原理。
课程导论
漏...
分类:
其他好文 时间:
2015-05-01 14:51:25
阅读次数:
193
创建含有缓冲区溢出隐患的程序
这里我们为了达到实验的要求,先来编写一个最简单的存在缓冲区溢出隐患的程序。这个程序我使用VC++6.0进行编写,并在Windows XP下执行。(这里请大家注意的是,如果你使用的是新版本的VC,由于微软加入了GS机制来防止缓冲区溢出情况的出现,那么本实验就无法实现。)
首先新建一个Win32控制台应用程序,然后输入以下C语言代码:...
分类:
其他好文 时间:
2015-05-01 14:47:45
阅读次数:
228
一、前言
在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒。但是之前的“熊猫烧香”病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分。主要也是因为那是我这个系列为大家分析的第一个病毒,为了将一些原理性的东西说清楚,所以文章略显冗长,也主要是照顾一下初学的朋友,摒弃...
分类:
其他好文 时间:
2015-01-14 09:52:55
阅读次数:
256
一、前言
恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的“敲竹杠”病毒,用于勒索。可见随着时代的发展,病毒的作者们往往也是想利用自己的技术来获取不义之财,变得越来越功利化了。而本系列文章也顺应了这个发展,从病毒讨论到木马,进而来到了“敲竹杠”病毒的讨论上来。
二、什么是“敲竹杠”病毒
其实“敲竹杠”病毒...
分类:
Web程序 时间:
2015-01-08 09:43:44
阅读次数:
187
一、前言
由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了。
二、原理讨论
对于本病毒而言,其最大的特色就在于使用了进...
分类:
其他好文 时间:
2014-12-27 09:00:02
阅读次数:
169
一、前言
之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo...
分类:
其他好文 时间:
2014-12-23 19:39:34
阅读次数:
207
一、前言
本文是逆向分析CM4系列的最后一篇,我会将该游戏的序列号验证机制分析完毕,进而编写出注册码生成器。
二、分析第二个验证循环
延续上一篇文章的内容,来到如下代码处:
图1
上述代码并没有特别需要注意的地方,只是知道了接下来的循环需要执行4次。下面就是重要的验证部分:
图2
这是注...
分类:
其他好文 时间:
2014-12-18 09:16:13
阅读次数:
176
一、前言
在上一篇文章的最后,我已经找出了关键的CALL语句,那么这篇文章我就带领大家来一步一步地分析这个CALL。我会将我的思路完整地展现给大家,因此分析过程可能略显冗长,我会分为两篇文章进行讨论。在整个分析过程中,我也会把我所遇到的瓶颈展示出来,毕竟我在实际分析时,也并不是一帆风顺的,遇到瓶颈属于正常情况,关键是在于应该怎么解决。考虑到绝大部分读者手中应该是没有CM4这款游戏...
分类:
其他好文 时间:
2014-12-18 09:16:10
阅读次数:
226
一、前言
之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种“病毒也不过如此”的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动...
分类:
其他好文 时间:
2014-11-21 14:29:34
阅读次数:
377
一、前言
这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为。
二、病毒分析
现在程序执行到了loc_408171位置处:
...
分类:
其他好文 时间:
2014-11-20 17:10:07
阅读次数:
230
