🖥️ PE Reverse — Windows 二进制分析
8 分类 · 18 篇技术文章。覆盖从初始 Triage 到最终免杀的完整分析流水线。
技术分类
01-triage — 初筛(1 篇)
AOB 签名扫描与模式匹配
02-pe-structure — PE 结构(1 篇)
PE 头/节表/导入表/导出表/重定位等结构分析
03-static-analysis — 静态分析(4 篇)
Ghidra 反编译分析:函数重命名、类型恢复、交叉引用、调用图、字符串追踪、结构体恢复
04-dynamic-analysis — 动态分析(8 篇)
x64dbg/x32dbg 调试:API 断点、内存断点、条件断点、Patch 验证。Procmon 行为观察、Frida 动态插桩
05-crypto-unpack — 加密/脱壳(1 篇)
加密算法识别、脱壳策略、PE crypto unpack plan
06-ioc-extraction — IOC 提取(1 篇)
IOC(Indicators of Compromise)提取与整理:文件哈希、C2 域名/IP、注册表键值、互斥体名
07-yara-sigma — 检测规则(1 篇)
YARA 规则编写与 Sigma 规则转换,用于检测和 SIEM 集成
08-patch — 补丁(1 篇)
PE 二进制 Patch 技术:字节修改、模式替换、PE 头修正
09-av-evasion — 免杀(1 篇)
免杀技术:Shellcode 加密/混淆、Loader 合并、静态签名绕过