汇编语言

Armadillo: arm壳。可用于

检测debugger

输入表乱序（修改IAT）

代码拼接 stolen byte

内存校验、双线程解码

VMProtect：新一代软件保护系统。

指令分类：

算术运算和移位运算

堆栈操作

内存操作

系统相关

逻辑运算

UTM:即Unified Threat Management，统一威胁管理。由硬件、软件和网络技术组成的专门用途的设备。

UPX:著名的压缩壳。可执行程序体积减少50%-70%；程序和程序库完全没有功能损失。

作用：

（1）减少资源占用

（2）保护程序，防止程序被修改和破解

（3）免杀

加壳：全称是可执行程序资源压缩。压缩后的程序可直接执行。

加壳工具分为：压缩壳和加密壳两种。

PEID:著名的查壳工具PE文档加壳类型和签名，支持插件扩展功能。

三种扫描模式：正常、深度、核心

木马病毒：与普通病毒不同，不会自我繁殖。两个可执行程序，一个是控制端，一个是被控制端。可以破坏、窃取文件，甚至远程操纵被控制主机。

汇编语言属于低级语言，可用于计算机、微控制器和可编程器件。

动态调试对标的是静态调试

  windbg 的使用难点

勒索病毒:WannaCry 大小3.3MB

处理勒索病毒的方法是重装操作系统，但是会造成数据文件丢失

标准命令

以点开头的是原命令

扩展命令

缓冲区溢出声音太小了

汇编语言是机器语言 低级语言

缓冲区溢出漏洞造成的后果：程序运行失败、系统宕机、重新启动、取得系统特权

vmp中的五类指令：自述运算和移位运算、堆栈操作、内存操作、系统相关、逻辑运算

缓冲区溢出，后果：程序运行失败；系统重启；取得系统特权。

木马

1、汇编语言

查壳工具主要用于检测文件是否被包装或加密，以帮助识别恶意软件或病毒。这类工具在网络安全和反病毒领域非常有用。