利用010 Editor进行固件格式分析

固件的格式随着厂商和型号的不同而有所差异,针对未混淆格式一般使用binwalk、FMT等自动化工具可以进行分析,但往往拿到的固件是无法通过这些自动化工具直接进行拆解的,需要对固件格式进行人工手动分析。本文将会使用010 Editor二进制编辑工具以某厂商的手机固件为例进行人工分析,并编写拆解程序。

恶意样本分析手册——通讯篇

传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通 讯,在此基础上还有利用 HTTP/HTTPS,IRC,P2P 等其他应用层协议 来进行通讯的。一般来说在调试网络通信的过程中,无论恶意软件采 用何种协议均对我们所关注的内容无太多影响,只需要获取到对应的 网络通信数据即可,而且在调试方法上基本无差别,故我们将以调试 利用 TCP 通信的样本为例,讲述如何调试样本中的网络通信部分。对 于其他常见的应用层协议,我们将对其网络结构及相关的僵尸网络构 建方式和方法进行简单描述,便于读者理解。

针对朝鲜的远程攻击木马Konni——技术分析与防护

在今年7月份,针对朝鲜的网络攻击的远程访问木马Konni被发现,此次的网络攻击行为被怀疑和韩国有关。该木马主要通过钓鱼邮件的方式进行传播,开始先通过一个.scr文件执行Powershell脚本,并根据系统信息下载对应版本的恶意软件。绿盟科技在获得该木马样本之后第一时间进行了分析。通过技术手段发现,该木马主要用于窃取数据和远程执行命令。