在反組譯惡意程式後,如何在茫茫組語海中,定位加解密函式的所在程式碼位置呢? 根據我過去分析惡意程式的經驗,加解密的函式常會單獨成一個函式。從惡意程式角度切入,分為送資料給 C2 伺服器與從 C2 伺服器收資料 ,2 部份作業來說明。 送資料 …
最新文章
延續上節,若惡意程式採用 TCP 或 UDP 網路傳輸協定,亦會自定義一套與 C2 溝通的專屬格式。 在復刻 C2 上,常利用逆向工程與分析封包手法,去拼湊出每個 C2 控制指令,所對應的傳輸格式與內容。 而在傳輸格式中,最廣泛使用就屬 T …
若想重新複刻 C2 伺服器的功能,分析惡意程式中間過程有一重要步驟:「找出所有 Command and Control Server 指令列表與功能函式」。 分析時,需使用逆向分析工具,例如 IDA Pro、x64dbg 等。如何操作 ID …
網站滲透測試 (Web App Penetration Testing) 是模擬真實世界的駭客,攻擊網站主機。其目的是要及早發現網站的潛在資安弱點。 提早發現網站的資安弱點,能有效降低營運風險。若能在網站上線前,發現弱點,更是能大幅降低弱點 …
by iok
這一篇文章介紹如何使用 hashcat ,搭配第二代(最新一代) 馬可夫鏈統計資料模型 hcstat2gen 的儲存格式,產出符合馬可夫鏈模型 (markov chain model) 的字典檔。
by iok
當你面對惡意程式諸多繁複功能,好不容易從組合語言萃取出 C2 伺服器程式連線協定。接下來,開始寫程式了。我根據過往經驗,歸納彙整出 3 個複刻 C2 的開發原則建議,分別是「選擇 Scripting 類型的程式語言」、「最小可運行原則」、「 …
by iok
