惡意代碼常用API混淆方法及取證處理(lǐ)方式

作(zuò)者：張瑞文

我們在分析惡意代碼時(shí)經常會(huì)遇到，靜态分析惡意代碼時(shí)導入表沒有(yǒu)任何導入函數(shù)的情況，這種情況通(tōng)常是惡意代碼混淆了API，很(hěn)多(duō)惡意代碼嘗試混淆它們使用的API來(lái)對抗靜态分析，API被混淆後靜态分析幾乎無法得(de)到有(yǒu)效的信息，下面我總結了惡意代碼經常用到的混淆API的方法，和(hé)處理(lǐ)它們的方法。

IP地址到底是什麽

作(zuò)者：朱丹陽

如果你(nǐ)現在正在看我的這篇位置，那(nà)說明(míng)你(nǐ)已經連接上(shàng)了互聯網，你(nǐ)正在通(tōng)過互聯網訪問到服務器(qì)；說到互聯網，你(nǐ)一定聽(tīng)說IP地址這個(gè)概念，你(nǐ)知道(dào)IP地址是做(zuò)什麽的嗎？與之而來(lái)的還(hái)有(yǒu)公網IP，私網IP，你(nǐ)知道(dào)有(yǒu)什麽區(qū)别嗎？

介紹WireShark以及基本操作(zuò)

作(zuò)者：黎先傑

Wireshark（前稱Ethereal）是一個(gè)網絡封包分析軟件。網絡封包分析軟件的功能是截取網絡封包，并盡可(kě)能顯示出最為(wèi)詳細的網絡封包資料。Wireshark使用WinPCAP作(zuò)為(wèi)接口，直接與網卡進行(xíng)數(shù)據報文交換。

查看服務器(qì)是否被入侵

作(zuò)者：劉迦南

在現場(chǎng)勘查的過程中，假如我們發現有(yǒu)目标服務器(qì)，該如何排查數(shù)據是否被遠程删改。作(zuò)為(wèi)一個(gè)技(jì)術(shù)人(rén)員，能夠清晰地鑒别服務器(qì)是否已經被入侵删除重要數(shù)據顯得(de)至關重要。

fiddler使用教程和(hé)fiddler手機抓包

作(zuò)者：劉成俊

抓包工具有(yǒu)很(hěn)多(duō)，比如常用的抓包工具Httpwatch，通(tōng)用的強大(dà)的抓包工具Wireshark.為(wèi)什麽使用fiddler？原因如下：

1.Wireshark是通(tōng)用的抓包工具，但(dàn)是比較龐大(dà)，對于隻需要抓取http請(qǐng)求的應用來(lái)說，似乎有(yǒu)些(xiē)大(dà)材小(xiǎo)用。

2.Httpwatch也是比較常用的http抓包工具，但(dàn)是隻支持IE和(hé)firefox浏覽器(qì)（其他浏覽器(qì)可(kě)能會(huì)有(yǒu)相應的插件），對于想要調試chrome浏覽器(qì)的http請(qǐng)求，似乎稍顯無力。

而Fiddler是一個(gè)使用本地 127.0.0.1:8888 的 HTTP 代理(lǐ)，任何能夠設置 HTTP 代理(lǐ)為(wèi) 127.0.0.1:8888 的浏覽器(qì)和(hé)應用程序都可(kě)以使用 Fiddler。那(nà)麽想要精通(tōng)抓包，首先必須對協議比較了解，所以下面我們首先了解一下協議。

Fiddler 蘋果IOS 數(shù)據抓包

作(zuò)者：劉成俊

 Fiddler不但(dàn)能截獲各種浏覽器(qì)發出的HTTP請(qǐng)求,也可(kě)以截獲各種智能手機發出的HTTP/HTTPS請(qǐng)求。Fiddler能捕獲IOS設備發出的請(qǐng)求，比如IPhone, IPad, MacBook. 等等蘋果的設備。同理(lǐ)，也可(kě)以截獲Andriod，Windows Phone的等設備發出的HTTP/HTTPS。本文介紹Fiddler截獲IPhone發出的HTTP/HTTPS包。前提條件是：安裝Fiddler的機器(qì)，跟Iphone在同一個(gè)網絡裏，否則IPhone不能把HTTP發送到Fiddler的機器(qì)上(shàng)來(lái)。 Fiddler既然可(kě)以抓取android的數(shù)據包, 那(nà)麽就一定可(kě)以抓取到ios的數(shù)據包!