[求助]Socket逆向
图2里面的的前8个字节中可以看到
67 38 6A  DE 转成10进制就是： 103 56 106 222
面的01 2c 就是端口：300

[原创] 分享一份恶意代码分析方向的基础技能表

wx_好一脚头球 vt是什么，网站么

https://www.virustotal.com/
恶意代码分析时的常用网站，可快速的查询样本的基本信息

[求助]用javascript编写的恶意代码应该怎么单步动态调试呢？
可以先静态分析代码逻辑，定位到关键的数据，然后通过FileSystemObject将目标数据写入到文件，
function writeFile(filename,filecontent){ 
    var fso, f, s ; 
    fso = new ActiveXObject("Scripting.FileSystemObject");    
    f = fso.OpenTextFile(filename,8,true); 
    f.WriteLine(filecontent);   
    f.Close(); 
} 

[推荐]「踩楼送书福利来啦！！！」师傅们修炼内功正当时！黑皮书《深入理解计算机系统》助你一臂之力
踩踩，帮大家消除一个错误楼层

[求助]逆向新手求助帖子
个人的一点小意见：二进制安全也包括多个方向，若是想看恶意代码分析方向发展可以看看《恶意代码分析实战》并动手跟练，若是想往漏洞方向发展可以看看《漏洞战争》、《0day软件漏洞分析技术》之类的。同时，后期二进制安全可能需要对C++开发、操作系统和编译原理有一定的要求，可以找找相关的书看。无论哪个方向，论坛都有了很多成熟的帖子，可以跟着学习和练习(一定要多动手，这是最重要的）。

[原创]一次对CryptoShield勒索软件的详细分析报告
感谢分享，图做的不错，很清晰。  (但通常情况下勒索和APT并没有关系，不能因为它能扩大传播范围或是有较好的隐藏属性就将其定义为APT)

[原创]一次上当受骗的样本分析经验
恭喜中奖！（https://bbs.pediy.com/thread-268273.htm） 
麻烦私信我下收货地址

[原创]一次上当受骗的样本分析经验
感谢分享，若是方便可将样本压缩加密上传到论坛备份

[原创]Windows Kernel Exploitation Notes(一)——HEVD Stack Overflow
感谢分享

[原创]office病毒分析资料整理
感谢分享，总结的比较完全了

找人帮忙分析一个dll的行为还有一个txt（不知道原来的后缀）的行为。
1. 调用导出函数：CreateLonginStubW
2. 导出函数CreateLonginStubW中尝试读取当前路径下的\\svchost.txt文件，获取文件大小，然后ReadFile读取文件内容
3. 遍历读取的文件数据，异或0x9C之后减去0x64
4. 判断解密之后的数据头部是否是0x4D5A
5. 创建线程执行解密后的代码

[原创]Windows按键精灵分析
感谢分享

[求助]如何分析这种NSIS病毒？

可以网上找一下nsis脚本还原的相关资料，你这个样本脚本还原之后关键代码我帮你贴上来了，可以参考下

Function .onInit
  SetOutPath $INSTDIR
  File $INSTDIR\yrcvb.dll
  File $INSTDIR\ftfhpv.lko
  System::Call $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\")
    ; Call Initialize_____Plugins
    ; SetOverwrite off
    ; File $PLUGINSDIR\System.dll
    ; SetDetailsPrint lastused
    ; Push $INSTDIR\yrcvb.dll::Ydlcpzlxpe(w$\"$INSTDIR\ftfhpv.lko$\")
    ; CallInstDLL $PLUGINSDIR\System.dll Call
  RMDir $INSTDIR
  RMDir $INSTDIR\data
  RMDir /r /REBOOTOK $INSTDIR
  RMDir /REBOOTOK $INSTDIR\DLLs
FunctionEnd

脚本安装时使用的yrcvb.dll和ftfhpv.lko都可以直接通过7z解压该文件找到，你在微步沙箱中看到的system.dll可以在$PLUGINSDIR文件夹内找到

各位大佬有什么好用的二进制比较工具可以推荐下么？
最开始使用Beyond Compare，现在主要使用totalcmd

[原创]Rundll32的故事

感谢分享，这里的数组转换之后就是CobaltStrike Beacon下载器的opcode，VBA调试器中CreateStuff之后，rwxpage参数值的十六进制数据就是这段shellcode在内存中的地址，可以通过火绒剑找到office进程下的rundll32，查看rundll32的内存空间，找到rwxpage对应的16进制地址空间，就是shellcode的所在位置

[原创]魔改CobaltStrike：协议全剖析
666   牛逼牛逼，感谢鸡哥分享

求大佬给个建议，要不要去入职
出差的话身边也没有朋友会出差那么久的，可能你面试的岗位是驻场性质，不然一般的出差是不会一次出那么久的。关键还是看兴趣，谨慎选择~

求大佬给个建议，要不要去入职
看你是不是真的喜欢这份工作以及是否下了决心以后要长久在相关的工作岗位上发展，半道转行通常会比较痛苦，因为对方很有可能不怎么认可你之前的工作经历。  所以如果准备长久在这个行业干下去，能先进入一个安全公司倒是不错的机会，能够为以后做铺垫。