恶意代码实战Lab13-01分析

最新推荐文章于 2024-11-18 20:30:33 发布
原创 最新推荐文章于 2024-11-18 20:30:33 发布 · 561 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

先用peid查一下信息
在这里插入图片描述
没加壳,vc6写的,拖入ida反编译
在这里插入图片描述
先从资源段解密信息,后来分析是url
在这里插入图片描述

进入decrypt函数,用的是xor
在这里插入图片描述
接下来上传信息
在这里插入图片描述
这里用od动态调试,获取主机名,strcpy
在这里插入图片描述
base64加密主机名,这里可以用peid的插件识别出base64算法
在这里插入图片描述
用InternetOpenUrlA的get请求上传加密的信息
在这里插入图片描述

恶意代码分析实战》实验——Labs-13
草草君
04-20 829
恶意代码分析实战》实验——Labs-13 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 《恶意代码分析实战》实验——Labs-13Labs-13-01实验静态分析:IDA分析——exe动态分析:问题Labs-13-02实验静态分析Labs-13-03实验静态分析:静态分析 Labs-13-01实验 静态分析: 查壳——无壳 查看输入表—— Kernel32.dll:加载资源,资源加锁,找到资源,加载库文件,写文件等函数 WS2_32.dll: 主机解析函数,网络连接启动
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1350
13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 -恶意代码伪装成一个合法的...
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1462
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
恶意代码分析实战13-01
Yale的博客
06-15 773
本次实验我们将会分析lab13-01.exe文件。先来看看要求解答的问题 Q1.比较恶意代码中的字符串(字符串命令的输出)与动态分析提供的有用信息,基于这些比较,哪些元素可能被加密? Q2.使用IDA Pro搜索恶意代码中字符串’xor’ ,以此来查找潜在的加密,你发现了哪些加密类型? Q3.恶意代码使用什么密钥加密,加密了什么内容? Q4.使用PEiD插件识别一些其他类型的加密机制,你发现了什么? Q5.什么类型的加密被恶意代码用来发送部分网络流量? Q6.Base64编码函数在反汇编的何处? Q7.恶意
恶意代码分析实战13章实验
weixin_41487541的博客
03-10 406
Lab13-1 1. 比较恶意代码中的字符串与动态分析提供的有用信息,基于这些比较,哪些数据可能被加密? string查看Lab13-01.exe字符串注意到有http字符串,并且%s表示有输出的值。 利用火绒剑监控Lab13-01.exe,可以看到文件正在访问www.practicalmalwareanalysis.com/aGFueHUtUEM=/ 推测两个%s表示的正是www.practicalmalwareanalysis.com和aGFueHUtUEM=,但在查看Lab13-01
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 943
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 2134
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析入门--静态分析(chapter1_Lab01-01
最新发布
书山有路勤为径,学海无涯苦作舟
11-18 1231
由于dll文件是不能够直接自己来运行的,所以,必须借助exe的外力在后台运行。先看Lab01-01.exe 可以知道并且推测,由于数字1和字母l 在windows中长得太像了,所以可以推测这个程序将Lab-01-01.dll文件改名成了Kerne123.dll文件,实现伪装隐藏。去查询ip.cn发现这是一个内网地址,可见病毒作者处于教学的目的,只随便写了一个内网地址,如果他是一个公网地址,那就很有可能在后台访问这个ip进行一些危险操作。的时间戳,表明了程序是什么时间编译的。如果是,是哪些导入函数?
恶意代码分析实战lab3-1
weixin_51588494的博客
04-26 312
答:通过dependency walker 这个工具,只发现了一个导入库,估计是被加壳了。使用动态分析基础技术来分析Lab03-01.exe文件中发现的恶意代码。3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?通过进程浏览器和注册表比较,会有注册key值的加入。2.这个恶意代码在主机上的感染迹象特征是什么?1.找出这个恶意代码的导入函数与字符串列表?遍历exe文件的字符串,其中有域名信息。
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1766
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码分析 关于第三章 Lab03-1
哒君的博客
07-23 870
恶意代码分析第三章的实验 非常有用 开启了新世界的大门
分析恶意代码文件Lab13-02.exe
m1287578441的博客
06-08 469
分析恶意代码文件Lab13-02.exe
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 1076
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
Lab 3-1
bangren3304的博客
01-08 610
Analyze the malware found in the file Lab03-01.exe using basic dynamic analysis tools. Questions and Short Answers What are this malware’s imports and strings? A: The malware appears to be packe...
**java lab13实验**
weixin_46526987的博客
06-07 221
如何在文本框中通过回车将光标定位到另外一个文本框 2020.06.07 方法一 通过KeyEvent事件处理,判断键盘输入的为“/n”(即回车键)时,进行事件处理:把光标自动定位到所需输入框。(调用requestFocusInWindow()定位焦点) t1.addKeyListener(new KeyAdapter() { public void keyTyped(KeyEvent e) { char ch1 = e.getKeyChar(); if(ch1=='\n') {
lab13_大作业_最短编辑距离问题
Charlotto_的博客
06-08 212
1:问题 给定一个源串和目标串,能够对源串进行如下操作: 在任意位置上插入一个字符; 替换任意字符; 删除任意字符。 写一个程序,实现返回最小操作次数,使得对源串进行上述这些操作后等于目标串(源串和目标串的长度都小于2000)。 2:解析 一般情况下,我们要想得到将src[1…i]经过最少次数的增加,删除,或者替换操作就转变为dest[1…j],那么我们就必须在之前可以以最少次数的增加,删除,或者替换操作,使得现在串src和串dest只需要再做一次操作或者不做就可以完成源串src[1…i]到目标串dest[
王爽汇编 Lab 13 Question 1, 用两个程序实现
weixin_33857230的博客
07-04 260
如果要用两个程序实现, 必须用实DOS,或者用DosBox。 我是用DosBox实现的。安装和中断例程代码如下assumecs:codecodesegmentstart:;installtionmovax,csmovds,axmovsi,offsetshwtxtmovax,0moves...
恶意代码反虚拟机技术详解与实战分析
本文围绕“恶意代码反虚拟机技术分析”这一主题,深入探讨了攻击者如何利用多种底层机制识别其运行环境是否为虚拟机,并据此决定是否执行恶意行为,从而逃避安全研究人员的动态分析与检测。该技术不仅体现了现代恶意...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值