恶意代码分析实战 第六章课后实验

最新推荐文章于 2024-01-05 19:59:18 发布
原创 最新推荐文章于 2024-01-05 19:59:18 发布 · 673 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

静态分析:

首先使用peid进行静态分析:

看到了一个重要的API函数InternetGetConnectedState,意思为返回本地系统网络连接状态。

然后查看字符串发现:

问题1:

用ida打开文件Lab06-01.exe,发现了有main唯一调用的子程序call    sub_401000

双击点进去发现了一个很明显的分支结构,这就是if语句

问题2:

其实在分析第一题的过程中就已经发现了ox40105f,

这就是那两个分支。可以看到,无论是走左边还是右边的分支,都会执行0x40105F这段代码。当看到push后的字符串时,想到上面查看到的字符串,基本就可以认为这个函数的作用就是将字符串显示出来。

问题3:

目的就是判断网络连接状态,if语句进行检测,通过字符串反馈。

问题1:

用ida打开实验文件Lab06-02.exe。main的第一个子过程也就是第一个call  sub_401000,

这里调用了一个InternetGetConnectedState函数,这是用来连接网络状态的。两个分支,一个成功一个错误,这是一个典型的if语句。

问题2:

找到0x40117f地址分析发现有两个字符

push    offset aSuccessInterne ; "Success: Internet Connection\n"检测是否有可用网络,然后输出。

问题3:

第二个子过程是call    sub_401040  双击点进去可以看到好几个API函数,

InternetOpenA,这个函数用于初始化。将“Internet Explorer 7.5/pma”字符串作为参数压栈。

InternetOpenUrlA,这个函数用来打开“http://www.practicalmalwareanalysis.com”这个网址。然后与0 比较是否跳转。

InternetReadFile,用于从InternetOpenUrl打开的网页中读取内容。

问题4:

也就只能说if语句了。

问题5:

http://www.practicalmalwareanalysis.com,Internet Explorer 7.5/pma,基于网络的指示就是这两个了

问题6:

该程序首先判断是否有可用的网络,如果不存在就退出程序。如果存在,程序则使用一个用户代理尝试下载一个网页。如果解析成功就打印一条信息然后程序会休眠,然后退出。

问题1:

相比上一题call    sub_401030为新调用的函数。

问题2 :

可以看到两个参数分别是argv和var_8。

问题3:

一个很明显的switch语句。

从关键注释也可以看出这是一个switch语句结构。

问题4:

可以看到,在这个switch语句中,包含有5个case以及一个default。当计算的值大于4的时候,就会执行default的路径,计算的值小于等于4时,则会走a分支到e分支的其中一条路径。那我们挨个分析一下:

a分支调用了CreateDirectoryA函数,这是一个创建目录的函数,参数为“C:\Temp”,如果这个目录不存在,就会创建它:

b分支调用了CopyFileA这个函数,这是衣蛾复制文件的函数。它有两个参数,一个是源文件。这里的目标位置是“C:\Temp\cc.exe”,而源文件就是当前的程序。这个分支的目的就是将Lab06-03.exe复制到C:\Temp\cc.exe:

c分支调用了DeleteFileA这个函数,这是一个删除文件函数。判断该文件是否存在,存在就删除。

d分支调用了关于注册表的函数,它会将注册表中的Software\Microsoft\Windows\CurrentVersion\Run\Malware的值设置为C:\Temp\cc.exe。每当系统启动,恶意代码就会自动执行:

E分支调用了休眠,经计算会休眠100秒。

 default分支会打印一串字符Error 3.2: Not a valid command provided。

问题5:

本机特征:

Software\\Microsoft\\Windows\\CurrentVe

C:\Temp\cc.exe

问题6:

通过switch语句,可能执行创建目录、复制文件、删除文件、设置注册表或者休眠100秒的操作。详见问题4.

问题1:

没啥区别。sub_401000判断当前的网络连接状态,sub_401040获取HTML中的字符,之后sub_4012B5打印输出函数,最后是sub_401150  switch语句。

问题2:

蓝粗线是向上的箭头,这是一个很明显的循环结构。

看到这三个关键的地方,可以推测这就一个for循环
for(i=0; i < 1440; i++)
问题3:

双击进入sub_401040查看一下有什么区别,

很明显,开头多了一个_sprintf,这个调用将Internet Explorer 7.50/pma%d输入到了lpszAgent,也就是user-agent,这样一来user-agent就不是固定的了,变成可变的了。eax也就是第一个参数,然后看函数调用发,现是var_c,分析 var_c的一系列操作,它就是赋值为0,然后跟1440比较, 每次循环后加一和1440比较,直至超出。

也就是上面分析过的for循环。

问题4:

运行多长时间看sleep

发现参数60000毫秒,也就是一分钟,但是这个循环要进行1440次循环,换算下来就是24小时。

问题5:

新的机遇网络迹象我只发现了user-agent。

问题6:

这个和之前的有好多一样的地方,多了一个可变的user-agent去下载web页面。24小时候停止。

Stronger_99
关注
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 895
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
恶意代码分析与实践lab1
qq_74420726的博客
09-23 2570
恶意代码分析实战》第一章的课后作业
使用InternetGetConnectedState这个API判断网络是否连通
lin28690的专栏
07-11 1017
分类: WinCE/ Windows C#/VC++ [cpp] view plaincopy #include "Wininet.h"   #pragma comment(lib,"Wininet.lib")      DWORD   flags;//上网方式      BOOL   m_bOnline;//是否在线  
恶意代码分析实战实验Lab1的1~4题
weixin_42877778的博客
11-05 1100
因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。 实验下载 访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给出具体下载方式链接:下载点击步骤 最终也是转到GitHub中下载:GitHub下载链接 第一章实验 Lab1-1 (1)将恶意代码上传到一个网页并分析查看报告。 .
恶意代码分析实战实验9-1
qq_43481350的博客
09-01 563
实验环境: 实验设备环境:windows xp 实验工具:strings,IDAPro,Ollydbg,Process explore 实验过程 使用strings进行静态分析: 我们可以看到此字符串中包含有一些网络连接函数以及创建线程的API函数。 接下来我们采用OD结合IDA的方式进行分析: 但是由于OD无法准确的定位到main函数开始的位置,所以需要采用IDA确定函数开始执行的位置: 在这里我们可以看到main函数的地址为:00402AF0,现在我们可以在OD中跳到这个地址: ...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3996
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战 第九章课后实验Lab09-02
Stronger_99的博客
04-15 1045
问题1: 在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是00401128,让后让OD跳转到此地址: 首先看到了一大串的mov指令 这是将字节移动到栈中的操作,出现了两个0,...
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1187
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 682
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
恶意代码分析实战实验——Labs-05
草草君
09-14 1024
恶意代码分析实战实验——Labs-05 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题恶意代码分析实战实验——Labs-05Labs-05-1实验 Labs-05-1实验 1.  DLLmain函数地址是什么?    回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。 2.   使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址
PRACTICAL MALWARE ANALYSIS
02-08
2012 , publisher: William Pollock T h e H a n d s - O n G u i d e t o D i s s e c t i n g M a l i c i o u s S o f t w a r e by Michael Sikorski and Andrew Honig
实验恶意代码分析
a1744930337的专栏
10-24 344
学号 201421420021 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验恶意代码技术 学生姓名 李镇吉 年级 2014级 ...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1748
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战》第6章 识别汇编中的C代码结构(课后实验Lab 6)
qq_43443410的博客
08-03 765
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第6章 识别汇编中的C代码结构(实验)Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个程序的目的是什么?Lab 6-2:分析在文件Lab06-02.exe中发现的恶意代码。2.1 main函数调用的第一个子过程执行了什么操作?2.2 位于0x40.
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 544
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战实验6-3
qq_43481350的博客
09-01 282
实验环境 实验设备环境:windows xp 实验工具:PEID,strings,IDApro 实验过程 首先使用strings进行静态分析如下: 我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。 下面可以使用PEID查看一下导入表: 我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。 我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。 下面使用IDA进行分析: 1、比较在main函数中与
恶意代码分析实战6-3
Yale的博客
05-29 355
本次实验分析lab06-03.exe,需要回答如下问题 Q1比较在main函数与6-2的main函数的调用。从main中调用的新的函数是什么 Q2这个新的函数使用的参数是什么 Q3这个函数包含的主要代码结构是什么 Q4这个函数能够做什么 Q5在这个恶意代码中有什么本地特征吗 Q6这个恶意代码的目的是什么 同样先载入peview ​ RegOpenKeyExA函数一般与RegSetValueExA一起用于往注册表中插入信息,在恶意代码将其自身或其他程序设置为随着系统开机就自启动以持久化运行时,通常会使用这两个
恶意代码分析实战 Lab 6-3 习题笔记
isinstance的博客
09-19 1328
Lab 6-3问题1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?解答: 我们也是先跟着书走一遍先静态分析(基本都是静态分析)可以清楚的看到,这个函数有创建文件夹(目录)的能力,还有删除一个文件,复制一个文件的能力和Lab 6-2一样,也有打开一个URL的并从里面读取文件的能力然后我还会发先,这个函数有打开一个注册表和设置值的能力然后我们查看一下字符串有那些
信息系统安全——缓冲区溢出和恶意代码分析
weixin_49816179的博客
01-05 1873
1、讲解恶意代码分析工具 OD 和 IDA 的使用; 2、通过实例分析,掌握缓冲区溢出的详细机理; 3、通过实例,熟悉恶意样本分析过程。
pyhon金融数据分析与挖掘实战第六章课后习题
最新发布
03-30
<think>好的,用户需要寻找《Python金融数据分析与挖掘实战第六章课后习题解答或示例代码。首先,我需要确认用户的具体需求。第六章可能涉及金融数据处理、分析或建模等内容,但用户没有提供具体章节标题,所以可能需要做一些假设。 接下来,我应该检查提供的引用内容是否相关。引用[1]提到了Python在金融领域的应用例子,引用[4]涉及读取Excel数据,这可能与第六章的数据处理习题有关。引用[3]讨论了缺失值和重复值的处理,这也是数据清洗的一部分,可能在习题中出现。引用[2]关于Python小游戏可能不相关,但需要确认。 用户可能需要具体的代码示例,比如数据清洗、统计分析或金融模型实现。例如,处理缺失值、读取Excel文件、计算财务指标等。根据引用[4],读取Excel数据是常见任务,可以提供一个示例代码。引用[3]提到的缺失值处理也是一个关键点,可以结合Pandas库的方法进行解答。 另外,用户可能希望了解如何应用这些技术到实际金融数据中,比如股票数据或财务报告分析。需要确保提供的代码示例符合实际应用场景,并使用正确的库(如Pandas、NumPy)。 还需要考虑用户是否可能遇到常见问题,比如数据格式错误、库的安装问题,或者算法实现中的错误。在解答中应尽量涵盖这些方面,或者给出排查建议。 最后,生成的相关问题需要围绕第六章可能涉及的主题,如数据清洗、金融模型、可视化等,帮助用户进一步深入学习。</think>### Python金融数据分析第六章习题解答 根据《Python金融数据分析与挖掘实战第六章内容,课后习题主要涉及金融数据预处理、特征工程和简单建模。以下是典型习题的解答框架: #### 习题1:股票数据清洗 要求:读取包含缺失值的股票数据文件`stock_data.xlsx`,完成以下操作: 1. 删除重复行 2. 用前向填充处理缺失值 3. 输出清洗后数据的统计摘要 ```python import pandas as pd # 读取Excel数据(引用[4]方法) df = pd.read_excel('stock_data.xlsx') # 删除重复值(引用[3]方法) df_clean = df.drop_duplicates() # 前向填充缺失值 df_filled = df_clean.fillna(method='ffill') # 输出统计摘要 print(df_filled.describe()) ``` #### 习题2:收益率计算 要求:根据收盘价数据计算日收益率,并绘制波动率曲线 ```python import matplotlib.pyplot as plt # 计算对数收益率 df['log_return'] = np.log(df['close'] / df['close'].shift(1)) # 30日滚动波动率 df['volatility'] = df['log_return'].rolling(window=30).std() * np.sqrt(252) # 绘制图形 plt.figure(figsize=(12,6)) plt.plot(df['date'], df['volatility']) plt.title('股票波动率趋势') plt.xlabel('日期') plt.ylabel('年化波动率') plt.show() ``` #### 习题3:特征相关性分析 要求:对金融指标数据集进行: 1. 标准化处理 2. 计算相关系数矩阵 3. 筛选与目标变量相关性>0.3的特征 ```python from sklearn.preprocessing import StandardScaler # 数据标准化 scaler = StandardScaler() scaled_data = scaler.fit_transform(df[['pe_ratio','pb_ratio','volume']]) # 计算相关系数矩阵 corr_matrix = pd.DataFrame(scaled_data).corrwith(df['target']) # 特征筛选 selected_features = corr_matrix[abs(corr_matrix) > 0.3].index.tolist() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值