我一直在反编译一段我认为是恶意软件的代码,我试图找出它的作用。它搜索特定的窗口标题,并使用该窗口的名称来解码其其余的指令。我试着通过运行常用窗口标题列表(记事本、Document1-microsoftword等)来找到正确的窗口标题。你知道吗
我重写了它在Python中使用的哈希:
def encode( inStr ):
a = 0x133F00D
i = 0
for j in inStr:
temp = ord(j)*8 * ((i << 0xC)+1)
a = a^ temp
i = i + 1
print hex(a)
我在找一个字符串,它的值是0x2227205。看看散列函数,它看起来像是单向的,并且有冲突。找到它想要抓住的窗口标题的好方法是什么?在防恶意链接网站上有常见窗口标题的列表吗?我应该运行字典攻击吗?最好的方法是什么?你知道吗
如果窗口标题足够长,您将无法通过暴力攻击找到它,并且可能它甚至无法帮助您找到与哈希匹配的标题。恶意软件只需检查自身是否存在另一个实例。你知道吗
我建议用调试器在虚拟机或者更好的专用计算机上运行恶意软件(可能没有网络来确定,或者用假网络来检查活动)。然后可以检查是否可以找到与哈希匹配的窗口。你知道吗
如果您坚持使用python代码,请确保您具有与恶意软件相同的溢出行为(尤其是相同长度的整数)。你知道吗
相关问题 更多 >
编程相关推荐