一、题目

二、分析

​

决赛题目只有一个驱动，pe工具查看加了vmp，直接加载后dump进行分析。

hack.exe

反调试

​ 对hack.exe脱外壳+IAT修复后，进行简单分析，可知存在三种检测反调试（不完全），后边调试dll_shellcode是还发现了有扫字符串。

​ 1、调用NtQueryInformationProcess 扫描进程的DebugPort。

WDK下载链接:https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk,根据页面对应内容下载即可。

x86驱动打开只能使用<=wdk8.1版本，对应的可用vs版本为<=vs2017。因此X86篇章的驱动开发环境如下:

• 系统:window7 x64 sp1
• IDE：VS2013
• WDK：8.1

一、DriverEntry

传统模式BCD搭建

1、系统设置

打开CMD，输入下列指令后回车，会得到一个 {ID}。

1

bcdedit /copy {current} /d DebugEntry 

将{ID}代入下列两个指令中运行。

记录自己调试windows服务的操作

• PlaneJun ・2022-1-9 23:25

如题，近日分析了一个样本，发现需要调试服务，然后自己也没调试过服务，就在国内查了一些资料，基本能用的也就看雪一个大哥发的教程。[原创]使用Windbg&OllyDbg从头调试windows服务-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

但是跟着操作弄了一遍，虽然是弄好了，但是会出现一个情况就是调试器会非常的卡，而且过了一会就消失了，整个虚拟机就直接是卡死状态，研究了许久还是解决不了就放弃了。然后就自己办法弄，考虑过写驱动给拦截了，但是VS2022没有WDK，于是想到全局API Hook，然后发现svchost.exe不过消息队列。在觉得无望的时候，我在火绒剑发现了这么一个玩意。

记一次头铁的病毒样本分析过程

• PlaneJun ・2021-10-27 05:07

一、样本：

[1]运行效果：

一、样本标签

二、详细分析

1、样本初始化

样本(cb0f5b97853a825df1f6155355eb0592)运行后首先调用sigprocmask使模块无法被正常结束。

一个易语言SouGou蠕虫样本

• PlaneJun ・2022-06-22 13:29

一、概述

该样本为一个被感染了蠕虫的样本，原程序为Sougou.exe，且有正规产商签名。

彩虹猫病毒分析

• PlaneJun ・2021-10-26 20:30

这里没有放虚拟机运行，直接放微云沙盒跑，样本运行效果如下

提示是否要继续运行，之后电脑会出现各种弹窗，然后会重启，重启后直接出现彩虹猫并且播放音频

一个数据加密恶意样本分析

• PlaneJun ・2021-12-22 14:23

该样本为帖子[讨论]抠下来的，过火绒-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com看到的，当时闲的没事下载来看了看。样本运行后会对电脑文件加密，并且删除了卷影文件，防止通过磁盘工具恢复。

运行效果以及行为

弹出网页