恶意代码分析实战 第九章课后实验 Lab09-03

最新推荐文章于 2022-06-07 22:30:23 发布
原创 最新推荐文章于 2022-06-07 22:30:23 发布 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

问题1:

首先用peid查看导入表:

这里发现了四个,分别是kernel32.dll  netapi32.dll  DLL1.dll  DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary:

双击查看,然后在地址查查看交叉引用窗口,快捷键Ctrl+x;

 

重点看一下前两个调用:

看到这两个调用也分别出现了.dll文件,分别是DLL3.dll  user32.dll。所以呢,一共导入了六个.dll。

问题2:

基地址利用peid查看发现三个.dll的基地址都是10000000。

问题3:

使用OD载入Lab09-03.exe,点击M。

看到了DLL1与DLL2的基地址分别是003C0000与10000000。这个和第二个问题查看的结果是不同的,这是可能

最低0.47元/天 解锁文章
Stronger_99
关注
恶意代码分析实战实验——Labs-09
草草君
10-22 1237
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 2068
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战9-3
Yale的博客
05-27 847
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么 Q4.lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么 Q5.lab09-03.exe调用WriteFile函数时,写入的文件名是什么 Q
Lab 9-3
bangren3304的博客
02-20 284
Analyze the malware found in the file Lab09-03.exe using OllyDbg and IDA Pro. This malware loads three included DLLs (DLL1.dll, DLL2.dll, and DLL3.dll) that are all built to request the same memo...
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1750
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
恶意代码分析实战Lab09补充
ACdream
03-08 516
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
恶意代码分析实战 第九章课后实验Lab09-02
Stronger_99的博客
04-15 1045
问题1: 在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是00401128,让后让OD跳转到此地址: 首先看到了一大串的mov指令 这是将字节移动到栈中的操作,出现了两个0,...
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 682
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE...
恶意代码分析实战Lab0903
ACdream
03-04 454
首先动静态结合分析程序跑起来会发现调用了3个DLL,用IDA先来看看main简单猜想DLL1Print()是调用了DLL1,DLL2Print()是调用了DLL2这里的extrn:说明这个函数是由外部实现的,这里是直接的外部调用(extern)调用DLL3Print()函数是采用的不同的姿势先使用LoadLibrary来获取DLL的句柄,接着使用GetProcAddress得到函数入口所以v9是D...
恶意代码分析实战实验——Labs-05
草草君
09-14 1026
恶意代码分析实战实验——Labs-05 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题恶意代码分析实战实验——Labs-05Labs-05-1实验 Labs-05-1实验 1.  DLLmain函数地址是什么?    回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。 2.   使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址
易语言PEID的查壳工具
07-21
易语言PEID的查壳工具源码,PEID的查壳工具,查看导入表,查看基本信息,取父级文本,计算偏差,编辑框_文件,查看区段,查看详情,查看导出表,查看TLS表,查看调试表,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_IMAGE_IMPORT_DES
恶意代码分析实战 --- 第九章 OllyDbg
abelxu
05-24 1185
Lab 9-1 查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。 字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑 主流程分析 1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件 2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令 打开注册表 LS
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 881
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 984
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数...
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 2106
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
恶意代码分析实战实验9-2
qq_43481350的博客
09-01 711
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析Lab09-03
m1287578441的博客
06-07 517
恶意代码分析Lab09-03
恶意代码分析实战9-2
Yale的博客
05-27 1046
本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下 Q1.在二进制文件中,看到的字符串是什么 Q2当运行这个二进制文件时,会发生什么 Q3怎样让恶意代码的攻击负载(payload)获得运行 Q4在地址0x00401133发生了什么 Q5传递给sub_401089的参数是什么 Q6.恶意代码使用的域名是什么 Q7恶意代码使用什么编码函数来混淆域名 Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么 为了回答第一个问题,直接使用strings.exe查看
恶意代码分析-第九章-OllyDbg
每昔的博客
08-06 1442
目录   笔记 实验 Lab 9-1 Lab 9-2 Lab 9-3 笔记 加载文件: 执行代码: Execute till Return -> 在当前函数返回时暂停执行 -> CTRL-F9 Execute til User Code ->从库函数中出来回到user code -> ALT-F9 单步跳过陷阱:               0...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值