Scribd
Upload
36 views7 pages

Index 610

Uploaded by

Stephen Anderson
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
36 views7 pages

Index 610

Uploaded by

Stephen Anderson
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
You are on page 1/ 7

FOR610 – Reverse-Engineering Malware

Topics SizeofResource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–140


UnmapViewOfSection . . . . . . . . . . . . . . . . . . . 5–53, 54
Function URLDownloadToFileA . . . . . . . . . . . . . . . . . . . . . . 3–72
AllocateVirtualMemory . . . . . . . . . . . . . . 5–26, 4–109 VirtualAlloc . . . . . . . . . . . . . 5–52, 5–54, 4–92, 4–108
BlockInput . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–76, 5–92 VirtualProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–127
CheckRemoteDebuggerPresent . . . . . . . . . . . . . . 5–12 wcsicmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106
CloseClipboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–144 WinExec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–72, 3–156
CreateMutex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–143 WriteProcessMemory . . . 5–52, 5–54, 4–108, 4–116,
CreateProcess . . . . . . . . . . . . . . . . . . . 5–51, 5–54, 2–85 4–127
CreateRemoteThread . . . . . . . . 4–108, 4–113, 4–123 WriteVirtualMemory . . . . . . . . . . . . . . . . . 5–26, 4–109
CreateThread . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–109 Structure
CreateToolHelp32Snapshot . . . . . . . . . . . . 2–61, 5–85 EXCEPTION REGISTRATION . . . . . . . . . . . 2–179
CreateUserThread . . . . . . . . . . . . . . . . . . . . . . . . . 4–109 KBDLLHOOKSTRUCT . . . . . . . . . . . . . . . . . . . 2–179
CryptDecrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–90-92 PROCESS INFORMATION . . . . . . . . . . . . . . . . 2–94
EnumProcesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–108 STARTUPINFOA . . . . . . . . . . . . . . . . . . . . . . . . . . .2–94
FindResource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–140 Instruction
FindWindow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–79 ADD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–37
FindWindows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–92 AND . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37, 2–40
GetAsyncKeyState . . . . . . . . . . . . . . . . . .2–144, 2–175 CALL . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–20, 2–37, 2–39
GetClipboardData . . . . . . . . . . . . . . . . . . . . . . . . . 2–144 CMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37, 2–40
GetCursorPos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–66 IMUL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37
GetForeGroundWindow . . . . . . . . . . . . . . . . . . . . . 5–66 JA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetKeyState . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–144 JB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41, 2–106
GetLocalTime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–13 JC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106
GetModuleHandle . . . . . . . . . . . . . . . . . . . . . 5–77, 5–92 JCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetProcAddress . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–53 JE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetSystemTime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–13 JG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetTempFileName . . . . . . . . . . . . . . . . . . . . . . . . . . 2–61 JL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetTempPath . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–121 JMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22, 2–37, 2–39
GetTickCount . . . . . . . . . . . . . . . . . . . . . . . . .5–13, 5–66 JZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–41
GetWindowText . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–144 LEAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
HttpAddRequestHeaders . . . . . . . . . . . . . . . . . . . . 2–45 LOOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39
HttpOpenRequest . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–45 LOOPcc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
HttpSendRequest . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–45 MOV . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22, 2–30, 2–37
InternetConnect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–45 NOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–9
InternetOpen . . . . . . . . . . . . . . . . . . . . . . . . . 2–45, 2–48 OR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37
InternetReadFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–45 PUSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22
IsDebuggerPresent . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6 RDTSC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–13
KdDebuggerEnabled . . . . . . . . . . . . . . . . . . . . . . . . 5–92 RET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39, 2–83
LoadLibrary . . . . . . . . . . . . . . . . . . 5–53, 4–123, 5–146 SCASB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22
LoadResource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–140 SETZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–185
LockResource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–140 SHL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37
OpenClipBoard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–144 SHR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37
OpenKey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–109 SUB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37, 2–40
OpenProcess . . . . . . . . . . . . . . . . . . . . . . . . 4–108, 4–114 TEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37, 2–40
OutputDebugString . . . . . . . . . . . . . . . . . . . . . . . . . 5–12 XCHG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–37
Process32First . . . . . . . . . . . . . . . . . . . . . . . 5–85, 4–108 Register
Process32Next . . . . . . . . . . . . . . . . . . . . . . . 5–85, 4–108 CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25
ProtectVirtualMemory . . . . . . . . . . . . . . . . . . . . . . 5–26 DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25
QueryInformationProcess . . . . . . . . . . . . . 5–12, 5–38 EAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
QuerySystemInformation . . . . . . . . . . . . . . . . . . .4–109 EBP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24, 2–67
QuerySystemTime . . . . . . . . . . . . . . . . . . . . . . . . . . 5–13 EBX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
ReadFile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–87 ECX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
ReadProcessMemory . . . . . . . . . . . . . . . . 4–127, 4–129 EDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
RegOpenKey . . . . . . . . . . . . . 2–18, 4–87, 5–89, 4–109 EDX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
ResumeThread . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–54 EIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25
RtlDecompressBuffer . . . . . . . . . . . . . . . . . . 5–26, 5–29 ES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25
SetWindowsHookEx . . 5–67, 5–67-70, 5–70, 4–126 ESI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
ShellExecute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–154

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 1
FOR610 – Reverse-Engineering Malware

ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 BelkaSoft Live RAM Capturer . . . . . . . . . . . . . . . . . . 4–136


FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25 BHOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–148
GS . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–25, 5–100, 5–127 Binary expression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–123
SS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25 Binary Ninja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–6, 1–80
BinText . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–97
64-bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–150
A box-js . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48, 3–143
Download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–51
AcroForm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73 Branch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–38
ActiveXObject . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–141 Breakpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–85
Addressing mode . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22, 2–32 Countermeasure . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–163
Administrative rights . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–39 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–107, 5–158
Adobe Reader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–55 hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–122
advapi32.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–88 VirtualProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–156
Analysis detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–93 brutexor.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–17
And . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–124 brxor.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–17
Anti-analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–163 Burp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4
Anti-Debugger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6 Byte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–27
Countermeasure . . . . . . . . . . . . . . . . . . . . . . . . 5–9, 5–14 Bytehist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11
Any.run . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
ApateDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124
API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18
Call . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–125
C
Concealed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–61 C2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–107
Hooking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–106 Call Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–30, 4–89
Inline hook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126 Calling convention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–71
Native . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–109 CAPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
Pattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–135 Capstone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6
API Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–94 cdecl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–71, 2–84
app.setTimeOut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–66 Censys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
app.viewerVersion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–66 certutil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–142
Archive (self-extracting) . . . . . . . . . . . . . . . . . . . . . . . . 3–129 CFF Explorer . . . . . . . . . . . . . . . . . . . . . . 4–13, 5–74, 2–145
Arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–80-81 ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20-21
64-bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–156 Clonezilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–32
arguments.callee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–33 Code analysis . . . . . . . . . . . . . . . . . . . . . . . . . 2–4, 1–33, 1–80
Armadillo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–8 Dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–81
ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19, 5–56, 5–74 Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–81
AutoConfigURL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–144 Code Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–61, 4–106
AutoDetect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–144 Code lifecycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5
Automated analysis . . . . . . . . . . . . . . . . . . . . . . . .1–13, 1–18 Collab.collectEmailInfo . . . . . . . . . . . . . . . . . . . . . . . . . . 3–67
AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–64 Command and control (C2) . . . . . . . . . . . . . . . . . . . . . . 1–17
AV detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–78 Compiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5
Avast Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–82 Compound File Binary Format (CFBF) . . . . . . . . . .3–89
AVCaesar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13 Constant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–35
avghookx.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–78 CREATE SUSPENDED . . . . . . . . . . . . . . . . . . 5–51, 5–175
CScript . . . . . . . . . . . . . . . . . . . . . . . . 3–37, 3–47, 3–160-163
CurrentVersion/Run . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
B Cutter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6

Balbuzard toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18


Base Offset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–82 D
Base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–59, 4–71
base64dump.py . . . . . . . . . . . . . . . . . . . . . . 3–60, 3–70, 4–72 .data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
BAT File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–64, 4–144 Data Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–33, 2–92
bbcrack.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
Beaconing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 Debugger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–34, 1–81
Behavioral Analysis . . . . . . . . . . . . . . . . . . . . . . . . 1–33, 1–51 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–80
Behavioral analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–4 Debugging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–46
BeingDebugged (flag) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12 Decompiler vs Dissassembly . . . . . . . . . . . . . . . . . . . . 2–159

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 2
FOR610 – Reverse-Engineering Malware

Deep Freeze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32 File extension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–65


Delete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–144 File handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125
Deobfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–17, 3–52 FileInsight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–136, 3–158
DER format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–145 Flash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10
Dereferencing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–28 FLOSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–24
Detect It Easy (DIE) . . . . . . . . . . . . . . . . . . . . . . 4–12, 1–47 Fog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
Device Driver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–148 For (loop) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112, 113
diec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12 FoxIT Reader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–55
Disassembling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–81 Frame pointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67
DLL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–14, 2–137 FS:[0] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–99
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44, 1–66 FS:[30h] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12, 3–124
DNS leakage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–20 FSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–8
Do (loop) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112 FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–109
document Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64
.createElement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–8 Epilogue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66
.getElementById . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–46 Prologue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66
DoomJuice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119 Function Call Graph . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Driver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124 Function Call Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–117
Dropper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–140 Function Graph . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–14
Dumping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
Debugger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30
DumpIt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136 G
Dword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–27
DynamicBase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–74, 5–98 getAnnots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–66
Dyre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–66 GetEIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–123
Ghidra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 1–80
Bad instruction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–120
E Comment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–43
Convert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–21
EA → Effective Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Create Project . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–8
Effective Address (EA) . . . . . . . . . . . . . . . . . . . . . . . . . . 2–31 Data Convert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–49
EFLAGS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25, 2–130 Data Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–47
Enable Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–148 Defined Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
Entropy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–9 Equate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–35
PeStudio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–10 Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–57
Entry Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7, 5–121 Function Call Tree . . . . . . . . . . . . . . . . . . . . . . . . . . 2–55
Entry Point (OEP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23 Key binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–22
Entry Point field . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–112 Local Variable Conflict . . . . . . . . . . . . . . . . . . . . . . 2–93
Epilogue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83, 2–90 Project Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
Ether . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–18 Propagate External Parameters . . . . . . . . . . . . . 2–47
Exception Show References . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–79
Frame-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–99 String Reference . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106
Stack-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–99 Symbol reference . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–16
Executable File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5 Symbol References . . . . . . . . . . . . . . . . . . . . . . . . . 4–112
Exeinfo PE . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12, 1–47, 5–97 TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–118
Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 Global Descriptor Table (GDT) . . . . . . . . . . . . . . . . 5–127
ExifTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48
exiftool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–15, 2–138 H
hachoir-urwid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
F Handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–87-88
Hardware breakpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–53
fakedns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 HashSets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
FakeNet-NG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124 Headers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
fastcall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–72 Heap Spraying . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–64, 3–66
feh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139 Hex encoding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–74
Fiddler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–6, 1–112 Hexadecimal string . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–67
file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13 Honeyclient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 3
FOR610 – Reverse-Engineering Malware

Honeypot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–21 jmp2it . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–83, 3–128


Hooking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124, 4–126 Pause . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–83
Call Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124 x32dbg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–83-85
JMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–130 JonDonym . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–20
PUSH/RET . . . . . . . . . . . . . . . . . . . . . . . . 4–131, 4–152 js . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–38, 4–70
Hopper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 1–80 JSTool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20
Hot patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66 Jump table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–131, 2–184
HTML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–21
HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44
httpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–71, 1–105 K
Hybrid Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13, 1–15
Kahu Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48
Kahu tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18
I KdDebuggerFlag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–80
Key logger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–172
I/O Request Packet (IRP) . . . . . . . . . . . . . . . . . . . . . . 4–124
IAT → Import Address Table . . . . . . . . . . . . . . . . . . . . . . . .
IDA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 1–80 L
IDT → Interrupt Descriptor Table . . . . . . . . . . . . . . . . . . .
If-Else . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99-102 Layering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–124
ImageBase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19 libemu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–72
Immediate value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22 Linker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5
Import Address Table (IAT) . . . 4–7, 2–16, 4–23, 5–162 Loader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–5
Fix (Scylla) . . . . . . . . . . . . . . . . . . . . . . . . 4–25, 4–41-42 location.href . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39
Rebuild . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–113 Loop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–108, 2–110
Import/Export Tables . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
Imports . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–15, 1–45, 5–146
Fixer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23 M
Indicator of Compromise (IOC) . . . . . . . . . . . . 1–17, 1–43
INetSim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–78, 1–109 Macro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–83, 3–114
Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–122-123 AutoOpen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–88
Inlining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–76 Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–101, 3–111
Instruction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22, 2–37 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–92
Interactive Behavior Analysis . . . . . . . . . . . . . . . . . . . 1–101 Enable Content . . . . . . . . . . . . . . . . . . . . . . 3–85, 3–107
Intermodular call . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–51 Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87
Internet access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–19 Locals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–103
Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . 3–25, 3–39 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–5
Interpreter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–36 Malware analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–5
Interrupt Descriptor Table (IDT) . . . . . . . . . . . . . . . 4–124 input/output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–10
Intezer Analyze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13 stage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–9
IP redirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115 Malware Hash Registry . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Malware lab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24-25
IRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44, 1–109 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–28
IRP → I/O Request Packet . . . . . . . . . . . . . . . . . . . . . . . . . . Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–28
Malware report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–11
malware-jail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48
J MASTIFF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48
Memory
JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–21 Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–143
Anti-analysis . . . . . . . . . . . . . . . . . . . . . . . . . . 3–33, 3–42 Virtual Offset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–154
Beautify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20 Virtual vs Physical . . . . . . . . . . . . . . . . . . . . . . . . .4–143
BreakPoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–28 Memory Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–135
Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–30 Memory map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–49
Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–25 message extract.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–150
Search and Replace . . . . . . . . . . . . . . . . . . . . . . . . . 3–45 MetaDefender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
Ternary Operator . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–44 Minidriver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
Tuple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43 Misdirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–96, 5–142
Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–30 Most significant bit (MSB) . . . . . . . . . . . . . . . . . . . . . 2–182
javascript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–67 mshta.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–67

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 4
FOR610 – Reverse-Engineering Malware

Mutant → Mutex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . pdf-parser.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–61-63


Mutex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 2–143 pdfid.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–61
MyDoom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119 pdftk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80
MZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–142, 4–147 PE (Portable Executable) . . . . . . . . . . . . . . . . . . . . . . . 1–47
PE Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124
PE Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
N pe unmapper . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–161, 5–170
PECompact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–97
NanoLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–141 peeppdf.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
nc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–120 peframe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46, 4–149
netcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–120 pepack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13
Nightmare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48 Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
NoMoreXOR.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18 pescan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13, 1–48
nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 pestr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42, 4–149, 5–170
NTVDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–149 PeStudio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–44, 2–138
ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20
Packed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–10
O TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–117
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18 Pev Toolkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42
Object Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5 PhantomJS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48
OLE1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–117 Pinpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4
OLE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–89 Pointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–28
olebrowse.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–92, 3–136 PolarProxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124
olecfinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92, 3–136 POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–109
oledir.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–92, 3–136 PortEx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48
oledump.py . . . . . . . . . . . . . . . . . . . . . . . . . 3–92, 3–94, 3–134 Position-independent code (PIC) . . . . . . . . . . . . . . . 2–150
oleid.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–136 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–71
olemap.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–136 Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–77
olevba.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87, 3–108 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–78
OllyDbg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–79 ProcDOT . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–46, 1–52, 1–63
OllyDumpEx . . . . . . . . . . . . . . . . . . . . . . 4–37, 5–109, 5–112 Process Environment Block (PEB) . . . . . . . .5–12, 3–124
OOXML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–89 Process Hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–44, 1–52
Open Threat Exchange . . . . . . . . . . . . . . . . . . . . 1–13, 1–16 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–171
openssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–145 String . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–22
Operand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–22 Process hollowing . . . . . . . . . . . . . . . . . . . . . . . . . . 5–54, 5–61
Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22 Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–55-56
Or . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–125 Process Monitor . . . . . . . . . 3–12, 5–44, 1–52, 1–54, 1–61
Original Entry Point (OEP) . . 4–23, 4–30, 4–38, 5–106 Process Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–45
OSINT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 Process replacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–54
Program Tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
Prologue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–82, 2–89
P ProtectionID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13
PXE booting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
p-code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–104
Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–106
P2P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44 Q
packerid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13
Packing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–3, 4–5-6, 1–47 qpdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80
Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–55 Queuing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
Page Memory Rights . . . . . . . 4–39, 4–119, 5–160, 5–171 Quttera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
PassiveTotal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13, 1–16 Qword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–27
Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–9, 4–86, 5–130
pcodedmp.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–106, 3–109
PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–55 R
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80
Dictionary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–58 Radare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 1–80
File structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–56 .rdata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–57 RDG Packer Detector . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13
Stream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80 Redline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 5
FOR610 – Reverse-Engineering Malware

reg export . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–68 Breakpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–115


Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22, 2–24, 2–26 Cleanup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–106
64-bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–151 Pointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67
Edit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–9 Stack String → String,stack . . . . . . . . . . . . . . . . . . . . . . . . . .
Register-based CPU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–23 Static properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41, 4–64, 4–68 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–33
Regshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52, 1–55, 1–59 stdcall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–71
Rekall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137 strace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18
.reloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12 strdeob.pl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–23
Remapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–161 String . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–33, 2–103
Ressource Dumpimp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–142 Process Hacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–22
Return Pointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–65 Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–19
RIP-relative addressing . . . . . . . . . . . . . . . . . . . . . . . . . 2–150 Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42, 4–70, 3–91
ROL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 pestr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–170
RollBack Rx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32 strlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–111
RootKit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107, 2–148 Structured Exception Handling (SEH) . . . . . . . . . . . 5–99
ROR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 Structured Storage (SS) . . . . . . . . . . . . . . . . . . . . . . . . . 3–89
RTF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–117 swf mastah.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80
Auto extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–117 Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–130
Controls/Group/Object . . . . . . . . . . . . . . . . . . . . 3–118 SYN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–108
Nesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–120 syncAnnotScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–66
rtfdump.py . . . . . . . . . . . . . . . . . . . . . .3–119-212, 3–151-153 SysAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–82
Carving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–155 System call . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18
rtfobj.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–157 System Service Descriptor Table (SSDT) . . . . . . . 4–124
RunPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–54

T
S
TcpLogView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–124
Sandbox detection . . . . . . . . . . . . . . . . . . . 5–63, 5–66, 5–93 TDL RootKit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–148
Sandboxie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–82 .text . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
scdbg . . . . . . . . . . . . . . . . . . 3–72, 4–75, 4–79, 3–125, 3–156 TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–109
Debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–81 Themida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–8
Stack manipulation . . . . . . . . . . . . . . . . . . . . . . . . . 4–82 thiscall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–72
Scout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4 Thread Information Block (TIB) . . . . . . . . . .5–99, 3–124
sctest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–72 Thread Local Storage (TLS) . . . . . . . . . . . . . . . . . . . . 5–116
Scylla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24, 5–113 ThreatAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–82
IAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–25, 5–162 Thug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4
ScyllaHide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–14, 5–27 Tinba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–66
Sections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7, 2–12, 1–45 TitanMist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–18
Segment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–25 TOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–20
selector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–127 translate.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–97
Self-defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–29 TrickBot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–161
set-static-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115 TrId . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48
SetBPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–85 trid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–13
setdllcharacteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20-21 try/except . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–99
Shellcode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–69 Two complements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–182
shellcode2exe.py . . . . . . . . . . . . . . . . . . . . . . . . . . 3–77, 3–128
Signed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–182
signsrch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48 U
Single-step . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–34, 1–83
SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–109 Unicode conversion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–70
Snapshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 unicode2raw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70
SpiderMonkey . . . . . . . . . . . . . . . . . . . . . . . 3–37, 3–66, 4–70 Universal Import Fixer . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
SRE → Software Reversing Engineering . . . . . . . . . . . . . . Unpacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–145
SRP Stream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–93 UnpacMe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–18
SSDT → System Service Descriptor Table . . . . . . . . . . . . Unsigned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–182
SSView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92, 3–136 unXOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18
Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67-69 Upatre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–66

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 6
FOR610 – Reverse-Engineering Malware

UPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–8 WinPMEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136


Unpacking (auto) . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17 Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52, 1–56, 1–66
urlscana.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13 Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–13
TCP Stream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–73
WM (SYS)KEY(XX) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–179
V WM MOUSEMOVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–71
WMIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–12
V8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37
Word . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–27
Variable
wow64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–149
Global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–53
WPE Pro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–82
Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–53, 5–151
WSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–53
VBA → Visual Basic for Applications . . . . . . . . . . . . . . . .
VBScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18, 3–47 X
Deobfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–160
VCF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49 x32dbg
vftable → Virtual Function Table . . . . . . . . . . . . . . . . . . . . cleardb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–48
Viper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–48 Dump . . . . . . . 5–29, 5–34, 5–57, 4–95, 4–101, 5–160
VirSCAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13 Follow in Memory Map . . . . . . . . . . . . . . . . . . . . . 5–58
Virtual Address Descriptor (VAD) . . . . . . . . . . . . . . 4–146 Ignore Exception . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–105
Virtual Function Table (vftable) . . . . . . . . . . . . . . . . 4–124 jmp2it . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–83-85
Virtual size . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–10 Save Patch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–11
Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 SEH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–101, 5–104
Virtualization detection . . . . . . . . . . . . . . . . . . . . . . . . . .5–65 SetBPX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–28
VirusTotal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13, 14 Stack edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–77
Visual Basic for Applications (VBA) . . . . . . . . . . . . . 3–84 Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–35
Downloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–84 Thread . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–177
Stomping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–104 TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–121
Watches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–112 xAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–151
Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137, 5–170 XFA → XML Forms Architecture . . . . . . . . . . . . . . . . . . . .
apihooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–150 XML Forms Architecture (XFA) . . . . . . . . . . . . . . 3–73-75
cmdline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–142 XOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
dlllist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–145 XOR (VBA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–97
kdbgscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–138 XOR Encoding . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–15, 3–98
ldrmodules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–145 XOR Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–119
malfind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–146 xor-kpa.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–100-101
memdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–144 xorBruteForcer.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18
pslist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–139 XORSearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–16, 3–122
pstree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140 xortool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18
Virtual Offset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–150 xxd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–75, 1–97, 1–118
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–20
vURL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
Y
W Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137
Yotalhash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13
Website . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–4
WH MOUSE LL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–70
While (loop) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112 Z
WinDbg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–80, 5–82
Windows Virtual PC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–82 zipdump.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137-138

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 7

You might also like