恶意代码分析实战 第九章课后实验Lab09-02

最新推荐文章于 2023-09-01 10:29:47 发布
原创 最新推荐文章于 2023-09-01 10:29:47 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

问题1:

在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。

问题2 :

使用Process Explorer监控,运行程序后并没有发现什么。

问题3:

把Lab09-02.exe载入到ida和OD。

在ida中发现main的地址是00401128,让后让OD跳转到此地址:

首先看到了一大串的mov指令

最低0.47元/天 解锁文章

200万优质内容无限畅学
Stronger_99
关注
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1153
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 646
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
恶意代码分析实战Lab0902
ACdream
03-04 512
首先动静态结合分析程序首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征在IDA中的main可以找到这个这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序,看内存中会不会释放出ocl.exe(但是并没有)这里的 strcmp 的 if 语句是肯定需要进去的,即strcmp(v26,v36) = 0...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1779
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
恶意代码分析实战实验——Labs-09
草草君
10-22 1187
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
Lab 9-2
weixin_30347335的博客
01-24 257
Analyze the malware found in the file Lab09-02.exe using OllyDbg to answer the following questions. Questions and Short Answers What strings do you see statically in the binary? A: The imports and th...
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 2036
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
恶意软件分析实战04-逆向分析Lab09-02.exe
輚至消亡
09-13 503
首先还是查一下壳, 发现没有加壳, 使用VC++6.0编写 68个杀毒软件, 55个报毒。感觉是有问题的 在一个dll中, 数据节内存大小非常大实际数据没那么大,可能是藏着一个文件在里面 查看下它的导出函数, 很明显该DLL是以服务形式存在的 其中导入了WS2_32.dll,也就是说有网络行为 ...
Lab09:野野实验
03-15
Lab09:野野实验
Lab09适配器
02-12
Lab09适配器
网狐6603(无内核)密码:1qaz2wsx3edc
03-01
网狐6603(无内核)密码:1qaz2wsx3edc 是吧,不用解释,也不能太期待,代码不完整,不过我觉得看看结构就差不多了
恶意代码分析实战Lab09补充
ACdream
03-08 498
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
恶意代码分析实战9-2
Yale的博客
05-27 895
本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下 Q1.在二进制文件中,看到的字符串是什么 Q2当运行这个二进制文件时,会发生什么 Q3怎样让恶意代码的攻击负载(payload)获得运行 Q4在地址0x00401133发生了什么 Q5传递给sub_401089的参数是什么 Q6.恶意代码使用的域名是什么 Q7恶意代码使用什么编码函数来混淆域名 Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么 为了回答第一个问题,直接使用strings.exe查看
1.12 进程注入ShellCode套接字
最新发布
优快云
09-01 5605
在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内,本章我们将自己实现一个正向`ShellCode`Shell,当进程被注入后,则我们可以通过利用NC等工具连接到被注入进程内,并以对方的权限及身份执行命令,该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致,通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell,本章节内容对`Metas
Spring Boot手把手教学(14):如何对Spring Boot配置文件加密
非著名程序猿
02-26 1709
文章目录1、前言2、`jasypt`加密3、安全性3.1 本地运行3.2 服务器部署4、踩坑指南 1、前言 如果Spring boot 的配置文件大多是明文 ,这样是不安全的; 如果Mysql数据库的账号密码都是明文,安全性就降低了,就像是在裸奔一样,所以有必要对相关比较隐秘的数据进行加密,这样的话相对安全性高一点; 这里我们采用jasypt对数据库的连接、账号和名称进行加密处理; 2、jasypt加密 依赖 <!-- 配置文件内容加密--> <dependency>
note : OD操作整理-API断点的设置;寄存器的修改;数据的查看
谢绝(无视)留言与私信
05-04 4197
中断的设置 断点列表和代码的切换 断点的操作与切换 转到表达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表. 可以在程序入口点到主视图或主对话框出来之前, 查看主程序用到的API列表. 也
OD常用快捷键
向往的博客
09-05 1290
命令 说明 Ctrl+G 输入十六位地址,定位到此地址 Alt+b 查看所有断点 Alt+L 显示记录窗口 Alt+M 显示内存窗口 Alt+E 显示模块窗口 Alt+C 显示 CPU 窗口 Alt+K 显示呼叫堆栈 Ctrl+P 显示补丁窗口 Alt+B 显示断点窗口 Alt+O 打开调试选项窗口 Ctrl+G 输入十六位地址,定位到此地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值