[系統(tǒng)安全] 十二.熊貓燒香病毒IDA和OD逆向分析（上）病毒初始化（系統(tǒng)安全測(cè)試報(bào)告）

IDA和OD作為逆向分析的“倚天劍和“屠龍刀”，學(xué)好它們的基本用法至關(guān)重要。本文重點(diǎn)分析熊貓燒香病毒的功能函數(shù)，大家掌握這些技巧后才能更好地分析更多的代碼。同時(shí)，本文部分實(shí)驗(yàn)參考姜曄老師的視頻分析，真的非常佩服和值得去學(xué)習(xí)的一位老師。技術(shù)路上哪有享樂(lè)，為了提升安全能力，別抱怨，干就對(duì)了~

文章目錄：

一.實(shí)驗(yàn)背景

二.PEiD加殼檢查

三.IDA靜態(tài)分析和OD動(dòng)態(tài)分析

四.總結(jié)

逆向分析：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

網(wǎng)絡(luò)安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

前文分析：

[系統(tǒng)安全] 一.什么是逆向分析、逆向分析基礎(chǔ)及經(jīng)典掃雷游戲逆向

[系統(tǒng)安全] 二.如何學(xué)好逆向分析及呂布傳游戲逆向案例

[系統(tǒng)安全] 三.IDA Pro反匯編工具初識(shí)及逆向工程解密實(shí)戰(zhàn)

[系統(tǒng)安全] 四.OllyDbg動(dòng)態(tài)分析工具基礎(chǔ)用法及Crakeme逆向破解

[系統(tǒng)安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大戰(zhàn)僵尸游戲

[系統(tǒng)安全] 六.逆向分析之條件語(yǔ)句和循環(huán)語(yǔ)句源碼還原及流程控制

[系統(tǒng)安全] 七.逆向分析之PE病毒原理、C++實(shí)現(xiàn)文件加解密及OllyDbg逆向

[系統(tǒng)安全] 八.Windows漏洞利用之CVE-2019-0708復(fù)現(xiàn)及防御詳解

[系統(tǒng)安全] 九.Windows漏洞利用之MS08-067遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)及深度防御

[系統(tǒng)安全] 十.Windows漏洞利用之SMBv3服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-0796）及防御詳解

[系統(tǒng)安全] 十一.那些年的熊貓燒香及PE病毒行為機(jī)理分析

[系統(tǒng)安全] 十二.熊貓燒香病毒IDA和OD逆向分析（上）病毒初始化

聲明：本人堅(jiān)決反對(duì)利用教學(xué)方法進(jìn)行犯罪的行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護(hù)，更推薦大家了解它們背后的原理，更好地進(jìn)行防護(hù)。該樣本不會(huì)分享給大家，分析工具會(huì)分享。（參考文獻(xiàn)見(jiàn)后）

一.實(shí)驗(yàn)背景

對(duì)病毒進(jìn)行逆向分析，可以徹底弄清楚病毒的行為，從而采取更有效的針對(duì)手段。為了節(jié)省篇幅，在這里我不打算將“熊貓燒香”進(jìn)行徹底的分析，只會(huì)講解一些比較重要的部分，大家只要掌握了這些思想，那么就可以處理很多的惡意程序了。

這里主要使用的工具包括：

PEiD：病毒加殼、脫殼基礎(chǔ)性分析

IDA Pro：靜態(tài)分析

OllyDbg：動(dòng)態(tài)分析

實(shí)驗(yàn)文件：

setup.exe：熊貓燒香病毒

基本流程：

利用查殼工具檢查病毒是否帶殼

利用OD動(dòng)態(tài)分析病毒

利用IDA靜態(tài)分析病毒

注意：由于OD工具會(huì)將程序運(yùn)行起來(lái)，所以我們?cè)谶M(jìn)行惡意代碼分析時(shí)盡量在搭建好的虛擬機(jī)中操作。如果病毒傳播性較強(qiáng)如WannaCry，建議斷開(kāi)網(wǎng)絡(luò)和斷開(kāi)共享分析。

二.PEiD加殼檢查

我們?cè)诜治霾《局埃紫刃枰{(diào)用工具檢查是否帶殼，如果病毒還需要先進(jìn)行脫殼操作。這次研究的“熊貓燒香”程序并沒(méi)有加殼，但后續(xù)的文章我會(huì)詳細(xì)分享加殼與脫殼的內(nèi)容，更好地幫助大家理解病毒分析及保護(hù)措施。

首先打開(kāi)PEiD工具人，然后將熊貓燒香病毒拖進(jìn)去，會(huì)發(fā)現(xiàn)病毒的基本信息。

分析信息如下：

該程序并沒(méi)有加殼，采用Delphi Borland Delphi 6.0-7.0編寫(xiě)

注意，這里補(bǔ)充姜老師對(duì)Delphi編寫(xiě)代碼和VC++編寫(xiě)代碼的理解。

區(qū)別：Delphi在函數(shù)調(diào)用時(shí)參數(shù)的傳遞不完全用棧，主要用寄存器。而C++程序函數(shù)調(diào)用前會(huì)使用push語(yǔ)句將參數(shù)入棧，然后再進(jìn)行call。Delphi一般將第一個(gè)參數(shù)放入eax寄存器，第二個(gè)參數(shù)放入edx，第三個(gè)參數(shù)放入ecx寄存器，其余參數(shù)按照與VC程序類似的方式壓棧。總之，Delphi編譯器默認(rèn)以register方式傳遞函數(shù)參數(shù)。這一點(diǎn)與VC編譯的程序完全不同。

提示：棧上給局部變量分配空間的時(shí)候，棧是向下增長(zhǎng)的，而棧上的數(shù)組、字符串、結(jié)構(gòu)體等卻是向上增長(zhǎng)的。理解這一點(diǎn)可以幫助識(shí)別棧上的變量。

三.IDA靜態(tài)分析和OD動(dòng)態(tài)分析

當(dāng)我們完成病毒樣本的檢測(cè)后，接下來(lái)就需要使用反匯編工具進(jìn)行分析了。

1.基本載入

第一步，使用IDA Pro載入病毒樣本。

下圖為Delphi自己生產(chǎn)的內(nèi)容，并不是我們關(guān)心的重點(diǎn)。我們更關(guān)心病毒程度的功能代碼，本文主要講解病毒的關(guān)鍵函數(shù)。

第二步，定位到0x0040CB7E位置，發(fā)現(xiàn)這兩個(gè)call是調(diào)用了同一個(gè)函數(shù)sub_403C98。

0x0040CB7E

sub_403C98

注意：某些病毒在IDA中會(huì)自動(dòng)分析出字符串“感謝艾瑪…”，并且是在調(diào)用sub_403C98函數(shù)之前，我們可以推測(cè)上面那個(gè)函數(shù)也傳遞了一個(gè)字符串。接著可以通過(guò)OD動(dòng)態(tài)調(diào)試獲取字符串對(duì)應(yīng)的值。

但是，我目前的IDA并沒(méi)有自動(dòng)解析出字符串的值，只能通過(guò)經(jīng)驗(yàn)進(jìn)行分析或OD動(dòng)態(tài)調(diào)試。我們發(fā)現(xiàn)EBP是堆棧基址，接近著兩次調(diào)用sub_403C98函數(shù)，前面的mov賦值經(jīng)過(guò)是參數(shù)傳遞的工作，從而猜測(cè)出它的功能是：參數(shù)傳遞給函數(shù)調(diào)用。

2.sub_403C98函數(shù)分析

第三步，調(diào)用OD進(jìn)行動(dòng)態(tài)分析，查看sub_403C98函數(shù)調(diào)用前傳遞的參數(shù)。

0x0040CB79

sub_403C98

打開(kāi)OD如上圖所示，我們需要定位到0x0040CB79位置。直接按F8執(zhí)行代碼（單步步過(guò)），當(dāng)執(zhí)行到0x0040CB79位置可以看到對(duì)應(yīng)的值為“武漢男生感染下載者”。

當(dāng)然某些OD不會(huì)顯示該值，只會(huì)顯示“0040CC40=setup.0040CC40”，此時(shí)需要我們進(jìn)一步在數(shù)據(jù)窗口跟隨。

數(shù)據(jù)窗口右鍵->轉(zhuǎn)到->表達(dá)式

接著輸入“40CC40”，查找傳遞參數(shù)對(duì)應(yīng)的值。

0x0040CC40

第四步，分析病毒程序利用00403C98函數(shù)做了什么。

call 00403C98

接著在這個(gè)位置（0x0040CB7E）按下F2增加斷點(diǎn)，然后按F9執(zhí)行過(guò)來(lái)，按下F7進(jìn)入call函數(shù)，進(jìn)入的函數(shù)如下圖所示。

接著按F7執(zhí)行，遇到call 00403D08繼續(xù)按下F7進(jìn)入，再進(jìn)入call 00402520，繼續(xù)進(jìn)入。

call 00403D08

call 00402520

call dword ptr ds:[0x40D030]

call 00401860

當(dāng)進(jìn)入call 00401860函數(shù)后，我們分析這里的兩個(gè)API函數(shù)，它是對(duì)互斥空間進(jìn)行初始化。

00401876 . E8 39F9FFFF call 004011B4 ;InitializeCriticalSection

00401889 . E8 2EF9FFFF call 004011BC ;EnterCriticalSection

我們繼續(xù)按下F8單步步過(guò)執(zhí)行往下分析，發(fā)現(xiàn)在0x004018B3位置調(diào)用LocalAlloc函數(shù)，該函數(shù)用于內(nèi)存分配。它會(huì)分配大小為FF8的空間，F(xiàn)lags為L(zhǎng)MEM_FIXED表示分配一個(gè)固定的內(nèi)存。該函數(shù)執(zhí)行結(jié)果會(huì)返回一個(gè)指向新分配的內(nèi)存對(duì)象的句柄。

LocalAlloc

寫(xiě)到這里，基本就確定了這個(gè)call 00403D08的功能，即分配一定大小的內(nèi)存空間。我們已經(jīng)進(jìn)入了好幾層Call，那怎么返回的呢？接下來(lái)我們?cè)倩氐絀DA進(jìn)行分析。

第五步，打開(kāi)IDA進(jìn)入sub_403C98函數(shù)。

0x0040CB7E call sub_403C98

整個(gè)sub_403C98函數(shù)由兩個(gè)函數(shù)組成，剛才我們所進(jìn)入的是第一個(gè)call sub_403D08的位置，并且分析了其功能是分配一定大小的空間。接著我們嘗試分析下一個(gè)函數(shù)sub_402650。

0x00403CB3 call sub_402650

接著記住這個(gè)地址“403CB3”，我們回到OD進(jìn)行動(dòng)態(tài)調(diào)試分析其功能。

轉(zhuǎn)到->表達(dá)式->輸入403CB3

顯示結(jié)果如下圖所示，然后我們按下F2增加斷點(diǎn)，再按F9執(zhí)行程序至此處，繼續(xù)按下F7單步進(jìn)入該函數(shù)。

第六步，分析sub_402650函數(shù)的功能。

上一步最終顯示結(jié)果如下圖所示，需要注意的是REP位置。

按下F8單步步過(guò)執(zhí)行至0x0040267D位置。

0x0040267D rep movs dword ptr es:[edi],dword ptr ds:[esi]

注意，該REP是將ESI指向地址的值以4字節(jié)方式拷貝到EDI指向的地址中。下圖展示了ESI和EDI，重執(zhí)行ECX次，每次執(zhí)行后ESI+4、EDI+4、ECX-1，OD中在這段代碼中下斷后按F7單步步入就可以觀察到這3個(gè)寄存器的變化。

ecx=00000008 (十進(jìn)制 8.)

ds:[esi]=[0040CC5C]=2A2A2ADF

es:[edi]=[021C0028]=00000000

我們先看看它復(fù)制的內(nèi)容是什么，選擇ESI右鍵“數(shù)據(jù)窗口鐘跟隨地址”。

ESI顯示“武漢男生”信息，所要復(fù)制的空間是EDI為空白空間。

按下F8運(yùn)行后發(fā)現(xiàn)該空間被賦值“武漢男生”。寫(xiě)到這里，基本確定了sub_402650函數(shù)功能就是字符串的復(fù)制。

總結(jié)，Sub_403C98主要包括兩個(gè)函數(shù)，其對(duì)應(yīng)功能如下：

sub_403D08：分配內(nèi)存空間

sub_402650：字符串拷貝功能

同時(shí)，我們可以在IDA中對(duì)sub_403C98進(jìn)行重命名操作，命名為“AllocStackAndCopyString”。重命名能將整個(gè)程序中該函數(shù)進(jìn)行修改，便于我們理解及分析整個(gè)病毒。

sub_403C98函數(shù)有兩個(gè)參數(shù)，由于采用的是Delphi編譯器，因此在反匯編中，第一個(gè)參數(shù)保存在eax中，第二個(gè)參數(shù)保存在edx中。這個(gè)函數(shù)首先完成堆空間的申請(qǐng)，然后將edx中保存的字符串復(fù)制到新申請(qǐng)的空間中。這個(gè)函數(shù)在最初賦值的時(shí)候，eax的值均為0，而在執(zhí)行后，eax中保存的就是新申請(qǐng)的堆空間中，所復(fù)制的字符串的首地址。為了易于觀察，我把IDA Pro中的sub_403C98重命名為AllocStackAndCopyString。

下面補(bǔ)充一段姜老師的注釋，對(duì)大家逆向分析和匯編理解很有幫助。

3.sub_405360函數(shù)分析

第七步，繼續(xù)從0x0040CB92位置往下分析，將該地址復(fù)制到OD中動(dòng)態(tài)調(diào)試。

操作如下：

轉(zhuǎn)到->表達(dá)式->輸入“40CB92”

按下F2增加斷點(diǎn)

按下F9執(zhí)行，將代碼調(diào)試到該位置

然后按F8單步執(zhí)行，可以看到0x0040CB9A存儲(chǔ)的值，某些情況還需要去數(shù)據(jù)窗口跟隨。

數(shù)據(jù)窗口右鍵->轉(zhuǎn)到->表達(dá)式->輸入40CCA4

可以發(fā)現(xiàn)在“40CCA4”位置保存了一段字符串，它可能是一段亂碼，目前無(wú)法分析它的含義。

繼續(xù)按下F8執(zhí)行到0x0040CB9F，按下F7進(jìn)入函數(shù)。

0x0040CB9F call 00405360

進(jìn)入后先簡(jiǎn)單瀏覽下這個(gè)函數(shù)，發(fā)現(xiàn)后續(xù)有一個(gè)粗線循環(huán)，我們?cè)?x004053CC下個(gè)斷點(diǎn)跳轉(zhuǎn)到這個(gè)循環(huán)處，并進(jìn)入循環(huán)。

F2按下在0x004053CC處增加斷點(diǎn)

F9執(zhí)行到循環(huán)處

F8進(jìn)入循環(huán)

按下F8單步執(zhí)行代碼，此時(shí)發(fā)現(xiàn)字符串“xboy”，我們暫時(shí)不知道它是做什么的。

接著繼續(xù)按下F8調(diào)試，發(fā)現(xiàn)它將字母“b”賦值給了EAX，我們懷疑它跟“xboy”有關(guān)。

接下來(lái)的代碼分析如下：

MOV ECX, 0xA

將常量“A”賦值給ECX。通常存在兩種可能性，一種可能是ECX作為循環(huán)的此時(shí)，即可能循環(huán)A次；另一種可能是EXC作為一個(gè)運(yùn)算的除數(shù)。

XOR EDX, EDX

異或操作將自身清空。

DIV ECX

可以發(fā)現(xiàn)它是一個(gè)除法操作，除數(shù)即為ECX。結(jié)果顯示如下圖所示，除法的商EAX為9，余數(shù)EDX為8。

通常除法有兩種可能，要么獲取EAX的商值，要么獲取余數(shù)EDX的內(nèi)容。那么這個(gè)程序究竟需要哪一個(gè)值呢？

MOVX eax, byte ptr ds:[eax+ebx-0x1]

該語(yǔ)句將值賦給EAX，所以上述程序做除法的目的是獲取EDX這個(gè)值。

接著在數(shù)據(jù)窗口中跟隨地址，查看這個(gè)值保存的是什么內(nèi)容。

輸出結(jié)果如下圖所示，它是剛才我們發(fā)現(xiàn)的亂碼，暫時(shí)還不知道它的具體作用。繼續(xù)按下F8執(zhí)行程序。

XOR EDX, EAX

EDX和EAX異或操作，其值保存在EDX中，即除法的余數(shù)EDX和亂碼EAX進(jìn)行異或操作。

繼續(xù)按下F8單步走，在0x00405408處出現(xiàn)了個(gè)地址，我們?cè)跀?shù)據(jù)窗口中跟隨數(shù)值。

發(fā)現(xiàn)這個(gè)結(jié)果是“2A”，該值正式剛才異或出來(lái)的EDX結(jié)果。

接著我們嘗試在下列兩個(gè)位置增加斷點(diǎn)。

0x004053E8

0x00405408

接著按下F9運(yùn)行，查看輸出的結(jié)果，分析如下：

將“xboy”的第三個(gè)字母“o”取出解密

數(shù)據(jù)窗口新增很多內(nèi)容，完成字符串拷貝

反復(fù)繼續(xù)按F9調(diào)試，發(fā)現(xiàn)它依次獲取“xboy”中的值，再進(jìn)行異或操作。

小結(jié)：最終解密的值如下圖所示，“武漢男生感染下載者”逐漸出現(xiàn)。sub_405360函數(shù)我們?cè)贗DA中重命名為“DecodeString”，即解密字符串。

補(bǔ)充匯編代碼：

CODE:004053D1 loc_4053D1: ; CODE XREF: sub_405360+B5 j CODE:004053D1 mov eax, [ebp+var_14] CODE:004053D4 call sub_403ECC CODE:004053D9 push eax CODE:004053DA mov eax, ebx CODE:004053DC pop edx CODE:004053DD mov ecx, edx CODE:004053DF cdq CODE:004053E0 idiv ecx CODE:004053E2 mov edi, edx CODE:004053E4 inc edi CODE:004053E5 mov eax, [ebp+var_14] CODE:004053E8 movzx eax, byte ptr [eax+edi-1] ; 每次循環(huán)逐字節(jié)取出“xboy”中的字符進(jìn)行運(yùn)算，注意這里首先取出的是“b”。 CODE:004053ED mov ecx, 0Ah ; 將ecx賦值為0x0A，作為接下來(lái)除法運(yùn)算的除數(shù)。 CODE:004053F2 xor edx, edx ; 清空edx。 CODE:004053F4 div ecx ; 做除法運(yùn)算，商保存在eax中，余數(shù)保存在edx中。 CODE:004053F6 mov eax, [ebp+var_4] ; 這里由于給eax重新賦值，說(shuō)明程序?qū)嶋H想使用的是edx中的余數(shù)。 CODE:004053F9 movzx eax, byte ptr [eax+ebx-1] ; 每次循環(huán)逐字節(jié)取出亂碼中的字符，賦值給eax進(jìn)行接下來(lái)的運(yùn)算。 CODE:004053FE xor edx, eax ; 異或運(yùn)算，結(jié)果保存在edx中，也就是通過(guò)運(yùn)算最終得出的字符。 CODE:00405400 lea eax, [ebp+var_18] CODE:00405403 call sub_403E2C CODE:00405408 mov edx, [ebp+var_18] CODE:0040540B lea eax, [ebp+var_10] CODE:0040540E call sub_403ED4 CODE:00405413 inc ebx CODE:00405414 dec esi CODE:00405415 jnz short loc_4053D1

4.sub_404018函數(shù)分析

第八步，繼續(xù)分析sub_404018函數(shù)的功能。

記住地址0x0040CBA4，復(fù)制到OD中進(jìn)行調(diào)試。

首先取消剛才解密的兩個(gè)斷點(diǎn)，然后跟隨表達(dá)式“40CBA4”，在該位置按下F2增加斷點(diǎn)，然后F9執(zhí)行過(guò)來(lái)。

首先看到兩條賦值語(yǔ)句，將值賦給EDX和EAX中，由于這個(gè)程序是使用Delphi編寫(xiě)，所以在call之前會(huì)將參數(shù)放到寄存器中，我們首先看看EDX中的內(nèi)容。

在數(shù)據(jù)窗口中跟隨數(shù)值，發(fā)現(xiàn)它們都是“武漢男生感染下載者”。注意第一個(gè)是我們剛才解密出來(lái)的內(nèi)容。

0040CBA4 . 8B55 EC mov edx,dword ptr ss:[ebp-0x14]

0040CBA7 . A1 D4E74000 mov eax,dword ptr ds:[0x40E7D4]

接著按下F8執(zhí)行，再按F7進(jìn)入Call 0040018函數(shù)。大致瀏覽該函數(shù)后，發(fā)現(xiàn)又存在一個(gè)循環(huán)，我們的重點(diǎn)就是分析該循環(huán)，按下F2增加斷點(diǎn)，再按F9執(zhí)行過(guò)來(lái)。

0x00404041

在數(shù)據(jù)窗口中跟隨，發(fā)現(xiàn)ECX和EBX就是剛才所說(shuō)的兩個(gè)參數(shù)，一個(gè)是原始的“武漢男生感染下載者”，另外一個(gè)是解密之后的“武漢男生感染下載者”。再按F8發(fā)現(xiàn)這個(gè)函數(shù)比較兩個(gè)字符串是否相同的操作。

CMP ECX, EBX

總結(jié)：回到IDA，我們將函數(shù)sub_404018重命名為字符串比較函數(shù)“CMPString”。

5.loc_40CBBC功能分析

第九步，分析loc_40CBBC功能。

繼續(xù)往下看，發(fā)現(xiàn)只要CMPString兩個(gè)字符串相同，就會(huì)跳轉(zhuǎn)到loc_40CBBC的位置。

繼續(xù)分析發(fā)現(xiàn)這里同樣存在字符串解密和字符串比較的操作，并且解密字符編程了武漢男孩（whboy），這里不再進(jìn)行解讀。

解密比較成功之后，繼續(xù)跳轉(zhuǎn)到loc_40CBE6的位置。這里看到了三個(gè)call函數(shù)，它們又是什么功能呢？這三個(gè)call是熊貓燒香病毒最重要的功能，我們下一篇論文繼續(xù)分析。

四.總結(jié)

寫(xiě)到這里，熊貓燒香病毒起始階段的逆向分析就介紹完畢，簡(jiǎn)單總結(jié)如下：

0x0040CB7E call sub_403C98

– 重命名為：AllocStackAndCopyString

– sub_403D08：分配內(nèi)存空間

– sub_402650：字符串拷貝功能

0x0040CB9F call sub_00405360

– 重命名為：DecodeString

– 0x004053CC：循環(huán)入口點(diǎn)

– 0x004053E8：獲取“xboy”解密字符

– 0x00405408：完成異或解密操作

0x0040CBAC call sub_404018

– 重命名為：CMPString

– 0x00404041：循環(huán)入口點(diǎn)

– 功能：字符串比較“武漢男生感染下載者”

0x0040CBCC loc_40CBBC

– 功能：字符串解密和比較操作，解密字符“whboy”

– DecodeString

– CMPString

后續(xù)會(huì)繼續(xù)分析熊貓燒香病毒的核心功能三個(gè)函數(shù)，正如姜老師所說(shuō)“由于反匯編代碼總會(huì)出現(xiàn)各種調(diào)用與跳轉(zhuǎn)，所以分析時(shí)會(huì)顯得很是凌亂，可能會(huì)打消大家的積極性。但也可以看見(jiàn)逆向分析工作需要各位讀者的耐心與細(xì)致，需要大家沉得住氣，不斷跟蹤每一個(gè)可疑的CALL；需要大家時(shí)刻留意寄存器中的內(nèi)容，才能夠找到我們需要的信息。當(dāng)然經(jīng)驗(yàn)也是非常重要的。” 再次感謝姜老師的分享，真的受益匪淺，也希望自己不斷深入，真正能在逆向分析和惡意代碼中學(xué)到東西，加油！

感恩能與大家在華為云遇見(jiàn)！

希望能與大家一起在華為云社區(qū)共同成長(zhǎng)，原文地址：https://blog.csdn.net/Eastmount/article/details/111769346

(By:娜璋之家 Eastmount 2021-11-12 夜于貴陽(yáng))

參考文獻(xiàn)：

姜曄老師真的非常佩服和值得去學(xué)習(xí)，希望自己和大家的技術(shù)能不斷提升，加油！

[1]?[網(wǎng)絡(luò)安全自學(xué)篇] 木馬原理詳解、遠(yuǎn)程服務(wù)器IPC $漏洞及木馬植入實(shí)驗(yàn)

[2]?姜曄老師的技術(shù)空間目錄 - CSDN

[3]?騰訊安全聯(lián)合實(shí)驗(yàn)室 - 知乎文章

[4]?[網(wǎng)絡(luò)安全自學(xué)篇] 七十九.Windows PE病毒原理、分類及感染方式詳解

[5]?姜曄老師技術(shù)分享 - B站

[6]?[網(wǎng)絡(luò)安全自學(xué)篇] 四十九.Procmon軟件基本用法及文件進(jìn)程、注冊(cè)表查看

[7]?[安全攻防進(jìn)階篇] 八.那些年的熊貓燒香及PE病毒行為機(jī)理分析

[8]?[網(wǎng)絡(luò)安全自學(xué)篇] 七十三.WannaCry勒索病毒復(fù)現(xiàn)及分析（四）蠕蟲(chóng)傳播機(jī)制源碼詳解

[9]?https://blog.csdn.net/ioio_jy/article/details/41207265

網(wǎng)絡(luò) 通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。