恶意代码分析实战 第九章课后实验Lab09-02

最新推荐文章于 2023-09-01 10:29:47 发布
原创 最新推荐文章于 2023-09-01 10:29:47 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

问题1:

在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。

问题2 :

使用Process Explorer监控,运行程序后并没有发现什么。

问题3:

把Lab09-02.exe载入到ida和OD。

在ida中发现main的地址是00401128,让后让OD跳转到此地址:

首先看到了一大串的mov指令

最低0.47元/天 解锁文章
Stronger_99
关注
恶意代码分析实战实验——Labs-09
草草君
10-22 1237
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1187
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
Lab09:野野实验
03-15
Lab09:野野实验
恶意代码分析实战Lab0902
ACdream
03-04 525
首先动静态结合分析程序首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征在IDA中的main可以找到这个这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序,看内存中会不会释放出ocl.exe(但是并没有)这里的 strcmp 的 if 语句是肯定需要进去的,即strcmp(v26,v36) = 0...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1832
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 682
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
恶意代码分析实战Lab0903
ACdream
03-04 454
首先动静态结合分析程序跑起来会发现调用了3个DLL,用IDA先来看看main简单猜想DLL1Print()是调用了DLL1,DLL2Print()是调用了DLL2这里的extrn:说明这个函数是由外部实现的,这里是直接的外部调用(extern)调用DLL3Print()函数是采用的不同的姿势先使用LoadLibrary来获取DLL的句柄,接着使用GetProcAddress得到函数入口所以v9是D...
恶意代码分析实战实验——Labs-05
草草君
09-14 1026
恶意代码分析实战实验——Labs-05 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题恶意代码分析实战实验——Labs-05Labs-05-1实验 Labs-05-1实验 1.  DLLmain函数地址是什么?    回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。 2.   使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址
Lab 9-2
weixin_30347335的博客
01-24 262
Analyze the malware found in the file Lab09-02.exe using OllyDbg to answer the following questions. Questions and Short Answers What strings do you see statically in the binary? A: The imports and th...
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 2106
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
Lab09适配器
02-12
Lab09适配器
恶意软件分析实战04-逆向分析Lab09-02.exe
輚至消亡
09-13 652
首先还是查一下壳, 发现没有加壳, 使用VC++6.0编写 68个杀毒软件, 55个报毒。感觉是有问题的 在一个dll中, 数据节内存大小非常大实际数据没那么大,可能是藏着一个文件在里面 查看下它的导出函数, 很明显该DLL是以服务形式存在的 其中导入了WS2_32.dll,也就是说有网络行为 ...
恶意代码分析实战Lab09补充
ACdream
03-08 516
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
恶意代码分析实战9-2
Yale的博客
05-27 1046
本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下 Q1.在二进制文件中,看到的字符串是什么 Q2当运行这个二进制文件时,会发生什么 Q3怎样让恶意代码的攻击负载(payload)获得运行 Q4在地址0x00401133发生了什么 Q5传递给sub_401089的参数是什么 Q6.恶意代码使用的域名是什么 Q7恶意代码使用什么编码函数来混淆域名 Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么 为了回答第一个问题,直接使用strings.exe查看
恶意代码分析-第十一章-恶意代码行为
每昔的博客
08-10 3352
目录   笔记 实验 Lab11-1 Lab11-2 Lab11-3 笔记 下载器:从网上下载代码,在本地运行,通常会用到URLDownLoadtoFileA和WinExec进行下载和运行恶意代码 启动器:一类可执行文件,用来安装运行的 后门:让攻击者通过远程访问来控制计算机的恶意代码,常用的方法是借助80端口的HTTP协议进行通信。 反向shell:从感染机器上发起一个连接...
1.12 进程注入ShellCode套接字
LYSHARK
09-01 5760
在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内,本章我们将自己实现一个正向`ShellCode`Shell,当进程被注入后,则我们可以通过利用NC等工具连接到被注入进程内,并以对方的权限及身份执行命令,该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致,通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell,本章节内容对`Metas
010-OD调试使用小结
crkres9527
09-11 1360
l  OD调试 l   命令栏指令   一、OD调试 重新开始:Ctrl+F2 转到地址:CTRL+G 断点切换:  F2 断点窗口:  Alt+B 运行    :  F9 暂停    : F12 单步步过:  F8 //遇到CALL跳过 单步步入:  F7 //遇到CALL进入 运行到选定位置   :F4   //这个主菜单上没有,右键菜单-断点-F4 反汇编窗口中跟随
qwe密码c语言源码,常见弱口令密码字典
weixin_34666714的博客
05-22 7069
zxcv789bnmqaz321wsxmasquerade4444456123abc123.live0123456789147852369zxcasd123123412345123456password11111111234567897RJ0us8e321admin7676#P@ssw0rd33312345678logitechAdmin123p@$$w0rdmanager654654ghost1...
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 881
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
Java实战经典:第九、十一章课后题详解与操作示例
在《Java开发实战经典》这本书的第九章和第十章课后习题解答中,我们探讨了Java编程实践中的多线程概念以及同步机制。本部分主要聚焦于`ThisThread`类的实现和`Operation`类的使用,展示了如何在Java中创建并启动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值