恶意代码分析实战

最新推荐文章于 2025-03-18 11:05:17 发布
最新推荐文章于 2025-03-18 11:05:17 发布
阅读量893 收藏 27
点赞数 13
文章标签: 数据库 前端 javascript 学习 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A_991128a/article/details/145930329
版权

恶意代码分析实战

程序利用FSG1.0进行加壳操作

图片

fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行载入:

图片

入口点:00405000

图片

对于FSG的壳,有两个点:

1、OEP最终是由一个大跳(call je 等汇编函数),跳过去的
2、FSG有多个循环跳转确认是否前往OEP

使用Alt+M,在Text段下断点,.Text段是存储程序的执行代码的地方。当我们在.Text段下断点时,方便观察关键函数的调用,拦截解密/解压操作,以及防止自解压行为,从而更好地分析和理解程序的行为。(这里3个text我都断过,都可以)

图片

F9运行,运行到系统代码

图片

运行停下来之后,Alt+F9返回到用户代码:

图片

此时按一直F7,发现存在大量小跳,存在数据复制操作(数据释放,fsg是压缩壳,在运行过程中壳解压将导出表还原)

图片

在跳转之后发现CALL (用于 调用/跳转至 一个子程序或函数)。

图片

接着F4(执行到指定位置) 运行到大跳转处,然后回车执行当前选定的指令,ctrl+a自动整理代码即可找到入口点,根据入口点来看这个应该是一个vc++程序:

图片

图片

图片

Dump下来修复导入表即可(内存要运行到这个地址)

图片

后续发现用工具修复IAT之后失败是因为,这个壳在执行的过程中,把部分IAT表里边的结构中的无用数据进行了修改,无法识别,手动修复的方法是,直接到IAT的地址,去将数据异常的IAT表项手动修改为0,再次修复转储就行了。

此时我已经不想再脱了,直接上工具完事Orz…

以后这种壳尽量还是自动,实在不行就摇人。

图片

图片

图片

Ida的程序流程图直接看到了链接,已经汗流浃背了,可恶

图片

附录:入口点特征

Microsoft Visual C++ 6.0

00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)

00496EB9 |. 8BEC MOV EBP,ESP

00496EBB |. 6A FF PUSH -1

00496EBD |. 68 40375600 PUSH Screensh.00563740

00496EC2 |. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安装

00496EC7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]

00496ECD |. 50 PUSH EAX

00496ECE |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP

00496ED5 |. 83EC 58 SUB ESP,58

---------------------------------------------------------------------------------------

Microsoft Visual Basic 5.0 / 6.0

00401166 - FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>] ; MSVBVM60.ThunRTMain

0040116C > 68 147C4000 PUSH PACKME.00407C14

00401171 E8 F0FFFFFF CALL

00401176 0000 ADD BYTE PTR DS:[EAX],AL

00401178 0000 ADD BYTE PTR DS:[EAX],AL

0040117A 0000 ADD BYTE PTR DS:[EAX],AL

0040117C 3000 XOR BYTE PTR DS:[EAX],AL

或省略第一行的JMP

00401FBC > 68 D0D44000 push dumped_.0040D4D0

00401FC1 E8 EEFFFFFF call

00401FC6 0000 add byte ptr ds:[eax],al

00401FC8 0000 add byte ptr ds:[eax],al

00401FCA 0000 add byte ptr ds:[eax],al

00401FCC 3000 xor byte ptr ds:[eax],al

00401FCE 0000 add byte ptr ds:[eax],al

----------------------------------------------------------------------

BC++

0040163C > $ /EB 10 JMP SHORT BCLOCK.0040164E

0040163E |66 DB 66 ; CHAR ‘f’

0040163F |62 DB 62 ; CHAR ‘b’

00401640 |3A DB 3A ; CHAR ‘:’

00401641 |43 DB 43 ; CHAR ‘C’

00401642 |2B DB 2B ; CHAR ‘+’

00401643 |2B DB 2B ; CHAR ‘+’

00401644 |48

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1636
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战源码
qq_38393271的博客
03-16 1039
** 恶意代码分析实战源码 ** 百度网盘链接:链接:https://pan.baidu.com/s/1jzThUG2Z1ddBwsEHfj5Ukg 提取码:umxz 记得点赞!!!!!
恶意代码分析实战13-01
Yale的博客
06-15 701
本次实验我们将会分析lab13-01.exe文件。先来看看要求解答的问题 Q1.比较恶意代码中的字符串(字符串命令的输出)与动态分析提供的有用信息,基于这些比较,哪些元素可能被加密? Q2.使用IDA Pro搜索恶意代码中字符串’xor’ ,以此来查找潜在的加密,你发现了哪些加密类型? Q3.恶意代码使用什么密钥加密,加密了什么内容? Q4.使用PEiD插件识别一些其他类型的加密机制,你发现了什么? Q5.什么类型的加密被恶意代码用来发送部分网络流量? Q6.Base64编码函数在反汇编的何处? Q7.恶意
恶意代码分析实战Lab1-1,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
03-18 282
.markdown-body pre,.markdown-body pre>code.hljs{color:#333;background:#f8f8f8}.hljs-comment,.hljs-quote{color:#998;font-style:italic}.hljs-keyword,.hljs-selector-tag,.hljs-subst{color:#333;font-weight:700}.hljs-literal,.hljs-number,.hljs-tag .hljs-attr,.hl
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1727
恶意代码分析实战Lab03-01.exe
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 2113
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
CQU恶意代码分析实验二
qq_62535870的博客
03-27 1855
将U盘上的两个分区格式化,分别格式化为FAT32格式和NTFS格式,然后在两个分区分别创建大文件、小文件和文件夹,来观察两种文件系统的存储原理。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 英文原版pdf
12-28
恶意代码分析实战,详细介绍了网络安全基本技术。包括:静态分析、动态分析、反汇编、IDA分析
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
asprotect 32 v2.78 加壳加密软件保护
01-07
ASProtect是软件保护系统。它是特别针对软件开发人员而设计的用来实现应用程序保护功能的系统。
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1813
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
windows脱壳复习
kernweak的博客
11-07 1991
UPX壳 使用upX压缩之后对比入下 现在使用OD脱压缩壳 注意配置OD的UDD路径,还有异常选项别忘设置 然后用OD在入我们前面加壳的程序。断在0x01014240 然而原来的入口 0100739D 0000 add byte ptr ds:[eax],al 0100739F 0000 ...
X86反汇编速成(恶意代码篇)
weixin_51758733的博客
05-16 789
X86 反汇编
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3687
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战lab5
qq_74420726的博客
10-21 880
实验目的 (1)完成教材上lab5的题目; (2)在样本分析结果的基础上,编写样本的Yara检测规则。 (3)尝试编写IDA Python脚本来辅助样本分析。 实验原理 IDA Python 是 IDA Pro 的强大脚本接口,它允许我们通过 Python 语言与 IDA 的各种分析功能进行交互。IDA Python 提供了丰富的 API 和库来辅助逆向工程和二进制分析。以下是一些常用的 IDA Python 特有函数和库: 1. idc 模块 idc 模块包含了 IDA 中很多通用的低层次函数,例如操作字
恶意代码分析实战_05 IDA Pro
kitsch0x97的博客
05-10 1276
当IDA Pro对一个程序进行初始反汇编时,字节偶尔会被错误地分类,代码可能被定义为数据,数据也可能被定义为代码。在反汇编窗口中最常用地重新定义代码地方式,是按U键来取消函数、代码或数据的定义。当你取消代码定义时,后续字节会被重新格式化为一个原始字节列表。可以按C键定义原始字节为代码,按D键定义原始字节为数据,按A键定义原始数据为ASCII字符串。
恶意代码分析实战》配套练习题库解析指南
恶意代码分析实战》是一本专注于恶意代码分析实战性教材,由Michael Sikorski与Andrew Honig合著。本书不仅涵盖了恶意代码的基础知识,还提供了大量实战练习,帮助读者通过实际操作来提高分析技能。恶意代码分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值