這是個github上開源前十的專案之一,筆者只完成學習了部分功能,前來分享點經驗
整個工程 連線位址 :
0x01除錯執行 學習**很關鍵的就是除錯了 所以首先奉上點除錯小技巧
乙個編譯器最基本的就是除錯了,所以先介紹下基本的除錯啊
f9:除錯執行,除錯執行的過程中按f9,會直接走到下乙個斷點。
f8:單步執行,相當於vs的f10
f7:也是單步執行,不過近函式,相當於vs的f11
ctrl+alt+b:進函式 檢視函式的具體內榮,相當實用,必備
ctrl+f:搜尋關鍵的變數函式,檢視函式或者變數之間拖拽到watches裡面進去就行了
0x02 函式講解篇
首先是讀配置檔案的資訊
第一箭頭,合成的絕對路徑
讀的過程很明細了 除錯結合配置檔案資訊
section = config(檔名),key = hello_world此類的 keyvalue=on
這樣變歷就可以把配置檔案關鍵資訊一一讀取出來
然後設定server的資訊 定了個類,配置server類的相關資訊,埠,ip,注入檔案的路徑,分析包的型別什麼的
然後判斷是否pe檔案 exe.sys.dll中乙個,這是屬於分析pe檔案那一塊兒的
接下就是同樣相似的步驟配置我們的虛擬機器的相關資訊,過程差不多,這裡就不貼**講解了
然後是利用tcp 繫結埠,開啟執行緒監聽
對埠進行監聽,然後就可以開啟我們的xml-rpc構建主機方面的連線了 url =
既然你要連線人家,構建好了好之後當然要進行連線,下面是等待虛擬機器的連線
用了個延遲等待的函式,然後判斷getsatutau()得到鏈結狀態,一旦連線上 退出等待 開始分析
然後構建需要傳輸檔案的路徑,遍歷,壓縮 ,使用xmlrpclib.binary(zip_data.getvalue())
傳送壓縮包.os_walk遍歷路徑,壓縮傳送分析目錄的所有檔案
虛擬機器進行解壓
虛擬機器接受到相應需要分析的檔案後就可以開始注入分析了
接下來就可以構建分析執行緒檔案的路徑,subprocess.popen.開啟執行緒,啟動分析
而客戶端主要是這幾句,使用******xmlrpcserver,構建rpc連線 函式的呼叫都在服務端
analyzer.py分析過程不是很難,提權,建立管道,程序間通訊,然後呼叫寫好的,loadexe.exe,target.exe,dll,進行注入就ok了 ,大部分注入的功能都實現在c++裡面,主要有遠端注入和apc注入;
最後附上 成功執行結果 希望對學習 這款惡意分析系統的人有所幫助
posted @
2017-03-05 11:41
clay- 閱讀(
...)
編輯收藏
iOS沙盒 一 沙盒機制
1 ios沙盒機制 ios應用程式只能在為該改程式建立的檔案系統中讀取檔案,不可以去其它地方訪問,此區域被成為沙盒,所以所有的非 檔案都要儲存在此,例如影象,圖示,聲音,映像,屬性列表,文字檔案等。1.1 每個應用程式都有自己的儲存空間 1.2 應用程式不能翻過自己的圍牆去訪問別的儲存空間的內容 1...
解析 智慧型沙盒vs 傳統沙盒
在阻止和分析未知安全威脅方面,智慧型沙盒與普通沙盒技術之間有什麼區別?智慧型沙盒是否可用於企業?michael cobb 企業以及所有網路使用者面對的問題是如何確保反惡意軟體能夠發現並緩解最新攻擊。對於所有安全技術而言,零日漏洞利用是最具挑戰性的威脅,因為它們完全為未知,也沒有補丁,讓網路和裝置易受...
iOS沙盒(sandbox)機制及獲取沙盒路徑
一 每個ios應用sdk都被限制在 沙盒 中,沙盒 相當於乙個加了僅主人可見許可權的資料夾,蘋果對沙盒有以下幾條限制。1 應用程式可以在自己的沙盒裡運作,但是不能訪問任何其他應用程式的沙盒。2 應用程式間不能共享資料,沙盒裡的檔案不能被複製到其他應用程式資料夾中,也不能把其他應用程式資料夾中的檔案複...