※浮点数转IEEE编码1、float类型的IEEE编码(31,30~23,22~0=>符号位,指数位,尾数位)eg1:12.25 经过IEEE编码后的各位情况:符号位:0指数位:3+127,10000010尾数位:100010000000000000000004字节二进制:0x41440000vc6...
分类:
编程语言 时间:
2014-12-11 23:46:48
阅读次数:
370
※函数的调用方式EBP:扩展基址指针寄存器(extended base pointer) 其内存放一个指针,该指针指向系统栈最上面一个栈帧的底部。ESP:(Extended stack pointer)是指针寄存器的一种,用于指向栈的栈顶。_cdecl:C/C++默认的调用方式,调用方平衡栈,不定参...
分类:
编程语言 时间:
2014-12-11 23:45:51
阅读次数:
404
※结构体和类之内存分布1、空类的大小空类:其实空类至少会占用1个字节的长度。2、字节对齐在为结构体和类中的数据成员分配内存时,结构体中的当前数据成员类型长度为M,指定对齐值为N,那么实际对齐值位q=min(M,N),其成员的地址安排在q的倍数上。vc6.0缺省对齐8个字节sShort占用2个字节,所...
分类:
编程语言 时间:
2014-12-11 23:45:02
阅读次数:
204
参考书籍:《Windows环境下32位汇编语言程序设计》14章、《C++反汇编与逆向分析技术揭秘》13章异常处理的作用:在程序运行出现异常或错误时,系统给予程序修正错误或异常的最后一个机会。异常处理分2类(按作用域分):1、筛选器过滤回调函数,这个函数的作用域为进程范围,一个进程有且只有一个筛选器过...
一、前言
之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种“病毒也不过如此”的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动...
分类:
其他好文 时间:
2014-11-21 14:29:34
阅读次数:
377
一、前言
这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为。
二、病毒分析
现在程序执行到了loc_408171位置处:
...
分类:
其他好文 时间:
2014-11-20 17:10:07
阅读次数:
230
一、前言
上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。
二、病毒功能分析
...
分类:
其他好文 时间:
2014-11-18 16:02:21
阅读次数:
217
一、前言
对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。...
分类:
其他好文 时间:
2014-11-17 14:09:25
阅读次数:
254
一、前言
如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严...
分类:
其他好文 时间:
2014-11-10 10:02:04
阅读次数:
271
【来信】 老师,您好。我是一名大二的学生,大一的时候学过windows编程,大二的时候学过linux、android,但是都没学完,半吊子都不算就放弃了。其实自己感觉唯一有兴趣的,就是windows的逆向分析。但是人家说学那个起点很高,但是看着室友们学习web什么的做东西很快,自己就很着急,也想学点东西能快点开发出点东西来。于是就学学这个,学学那个,连最喜欢的逆向都放弃了。 我不知道现在如何是...
分类:
其他好文 时间:
2014-11-10 09:59:45
阅读次数:
250
