学习笔记-第十三章 恶意代码分析实战

最新推荐文章于 2022-03-10 20:00:14 发布
原创 最新推荐文章于 2022-03-10 20:00:14 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#恶意代码分析实战

第13章 数据加密

	在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码
	使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握
	这些技术。
	
	1.分析加密算法的目的
	- 隐藏配置信息。如:命令和控制服务器域名
	- 窃取信息之前将它保存到一个临时文件。
	- 存储需要使用的字符串,并在使用前对其加密。
	- 将恶意代码伪装成一个合法的工具,隐藏恶意代码活动中使用的字符串。

	2.简单的加密算法。简单的加密技术已经存在了数千年。虽然你可能认为现在的计算机强大
	的计算能力让这些简单的加密算法灭绝了,但是情况并非如此。简单的加密技术常被用来
	隐藏内容,从而让内容看起来不明显,不可读,或者将它的数据转换成另一种字符集。
	
	- 因为它们足够小,所以可以用在受限的环境中。例如漏洞利用的(exploit)shell code。
	- 它们没有复杂加密算法那么明显。
	- 开销低,它们对性能几乎没有影响
	
	<1>凯撒密码
	<2> xor,异或。使用ida pro识别xor循环
	<3>其他的一些简单加密策略。
	<4>Base64
	3.常见的加密算法。使用标准加密存在一些潜在的漏洞,特别是对于恶意代码来说:
	- 加密库很大,所以恶意代码需要静态的集成或者链接到已有的代码中。
	- 链接主机上现有的代码可能降低可移植性。
	- 标准加密库比较容易探测(通过函数导入,函数匹配或者加密常量表示)
	- 对称加密算法需要考虑如何隐藏密钥。
	很多标准加密算法都依赖于一个强大的密钥来存储它们的秘密。算法是公开的。
	
	可以通过以下的方法尝试解密。
	<1>识别字符串和导入
	<2>查找加密常量
	<3>查找高熵值内容。 识别加密算法另一方法是查找高熵值的内容,除了识别潜在的明显的加密常量
	或者加密密钥外,这种技术也可以识别加密内容本身。
	
	4.自定义加密。自创加密方案,组合简单加密方法。
	
	5.解密。查找并且分离加密函数是恶意代码分析过程中很重要的一部分,但是通常情况下,你还想继续解
	密隐藏的内容。有俩种基本的方法来重现恶意代码中的加密
最低0.47元/天 解锁文章

200万优质内容无限畅学
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 1034
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 &lt;1&gt;图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1192
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
恶意代码分析实战13章-IDApro插件findcrypt.plw
09-04
恶意代码分析实战13章的IDApro插件用于识别加密算法。。
恶意代码分析实战第十三章课后实验
Stronger_99的博客
04-22 453
问题1: 先来做基本的动态分析,使用Wireshark进行监控,运行程序发现: 发现了一个网址,一段乱码和Mozilla/4.0。使用ida查看一下字符串: 在这里同样看到了Mozilla/4.0。但是并没有看到网址以及那个字符串,那么这两个在后面的分析中就要重点关注一下。 问题2: 使用ida搜索xor,结果入下: 通过分析可以知道,只有004011B8地址处的x...
恶意代码分析实战第13章实验
weixin_41487541的博客
03-10 395
Lab13-1 1. 比较恶意代码中的字符串与动态分析提供的有用信息,基于这些比较,哪些数据可能被加密? string查看Lab13-01.exe字符串注意到有http字符串,并且%s表示有输出的值。 利用火绒剑监控Lab13-01.exe,可以看到文件正在访问www.practicalmalwareanalysis.com/aGFueHUtUEM=/ 推测两个%s表示的正是www.practicalmalwareanalysis.com和aGFueHUtUEM=,但在查看Lab13-01
恶意代码分析实战13章-IDApro插件entropy_plugin.plw
09-04
恶意代码分析实战13章-IDApro插件findcrypt.plw..
恶意代码分析实战13-01
Yale的博客
06-15 723
本次实验我们将会分析lab13-01.exe文件。先来看看要求解答的问题 Q1.比较恶意代码中的字符串(字符串命令的输出)与动态分析提供的有用信息,基于这些比较,哪些元素可能被加密? Q2.使用IDA Pro搜索恶意代码中字符串’xor’ ,以此来查找潜在的加密,你发现了哪些加密类型? Q3.恶意代码使用什么密钥加密,加密了什么内容? Q4.使用PEiD插件识别一些其他类型的加密机制,你发现了什么? Q5.什么类型的加密被恶意代码用来发送部分网络流量? Q6.Base64编码函数在反汇编的何处? Q7.恶意
学习笔记-第十六章 恶意代码分析实战
Yes_butter的博客
04-03 660
第十六章 反调试技术 反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码分析时间。 1.探测Windows调试器 <1>使用Windows API 使用Windows API函数探测调试器是否存在是最简单的反调试技术。 IsDebuggerPresent 查询进程环...
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1309
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3708
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战 Lab 1-2 习题笔记
isinstance的博客
08-25 3109
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?解答: 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请进行脱壳,如果可能的话。解答: 因为这个我是看过一遍书才来看这些题目的,所以,可能刚开始看这本书的同学会有些不理解,没事,慢
恶意代码分析实战 Lab 1-3 习题笔记
isinstance的博客
08-28 1437
Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答: 略2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。解答: 这个还是要用老方法看看这里没显示C++或者C什么的,虽然结果也没显示常见的UPX壳,但是无疑这个加壳了的,壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数,可以
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1777
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1443
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1408
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 860
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
恶意代码实战Lab13-01分析
Cosmopolitan的博客
12-10 547
先用peid查一下信息 没加壳,vc6写的,拖入ida反编译 先从资源段解密信息,后来分析是url 进入decrypt函数,用的是xor 接下来上传信息 这里用od动态调试,获取主机名,strcpy base64加密主机名,这里可以用peid的插件识别出base64算法 用InternetOpenUrlA的get请求上传加密的信息 ...
恶意代码分析实战13-02
Yale的博客
06-15 467
本次实验我们将会分析lab13-02.exe文件。先来看看要求解答的问题 Q1.使用动态分析,确定恶意代码创建了什么? Q2.使用静态分析技术,例如xor指令搜索、FindCrypt2、KANAL等查找潜在的加密,你发现了什么? Q3.基于问题1的回答,哪些导入函数将是寻找加密函数比较好的一个证据? Q4.加密函数在反汇编的何处? Q5.从加密函数追溯原始的加密内容,原始加密内容是什么? Q6.你是否能够找到加密算法?如果没有,你如何解密这些内容? Q7.使用解密工具,你是否能够恢复加密文件中的一个文件到原
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1668
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
深度解析《机器学习实战学习笔记代码
资源摘要信息:"《机器学习实战:基于Scikit-Learn、Keras和TensorFlow第2版》-个人学习笔记代码" 在该资源中,我们主要关注的是机器学习领域中的实战应用,特别是使用了三款在当前业界极其流行且功能强大的库:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值