学习笔记-第六章 恶意代码分析实战

最新推荐文章于 2022-04-10 11:30:10 发布
最新推荐文章于 2022-04-10 11:30:10 发布
阅读量860 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Yes_butter/article/details/88417071
本篇博客详细介绍了四个恶意代码分析实验,包括Lab6-1至Lab6-4,涉及程序功能理解、代码结构识别,如if判断、子过程分析、switch case等。每个实验都针对不同恶意行为,如网络状态判断、文件操作、注册表修改、HTML解析等,旨在提升对恶意代码结构的识别能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第六章

1.全局变量,局部变量。 全局变量初始化时为正值,局部变量为负值

2.反汇编算术操作

3.识别if语句。 jnz如果不相等跳转,jz相等跳转
 
4.for循环,while循环

5.函数调用约定。

6.switch语句。俩种形式,一种if语句,第二种跳转表

7.数组,结构体

8.链表遍历
课后作业
本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。

Lab 6-1

在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。
问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么?
  if判断,判断调用sub_401000,之后局部变量是否变化
2.位于0x40105F的子过程是什么?
  打印输入
3.这个程序的目的是什么?
  判断当前网络状态

Lab 6-2

在这个实验中,你将分析在文件Lab06-02.exe中发现的恶意代码。
问题

1.main函数调用的第一个子过程执行了什么操作
  先判断网络连接状况
2.位于0x40117F的子过程是什么?
  打印字符串

最低0.47元/天 解锁文章

200万优质内容无限畅学
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 1034
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1427
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战 第六章课后实验
Stronger_99的博客
04-11 643
静态分析: 首先使用peid进行静态分析: 看到了一个重要的API函数InternetGetConnectedState,意思为返回本地系统网络连接状态。 然后查看字符串发现: 问题1: 用ida打开文件Lab06-01.exe,发现了有main唯一调用的子程序call sub_401000 双击点进去发现了一个很明显的分支结构,这就是if语句 问题2: ...
恶意代码分析实战》第6章 识别汇编中的C代码结构(课后实验Lab 6)
qq_43443410的博客
08-03 703
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第6章 识别汇编中的C代码结构(实验)Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个程序的目的是什么?Lab 6-2:分析在文件Lab06-02.exe中发现的恶意代码。2.1 main函数调用的第一个子过程执行了什么操作?2.2 位于0x40.
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1192
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
学习笔记-第四章 恶意代码分析实战
Yes_butter的博客
03-04 717
第四章 x86反汇编学习 一。计算机系统被描述为以下六个抽象层次。 1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的 复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。 2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们 从更高的机器码层翻译过来,提供了访问硬件的接口...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1719
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 768
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 279
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1414
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
4SecNet团队专栏
12-21 543
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 1085
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 564
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 557
和0304是同一个程序,下面是自己当时对0304的分析http://blog.youkuaiyun.com/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
Go语言学习笔记 - 雨痕
"Go学习笔记 By 雨痕" 这是一份由雨痕编写的Go语言学习笔记,详细记录了作者在学习Go语言过程中的心得和知识点。笔记内容涵盖Go语言的基础到高级特性,适合已经观看过无闻大神视频并希望进一步巩固和深入理解Go语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值