恶意代码分析实战 Lab 7-2 习题笔记

最新推荐文章于 2025-08-29 12:00:00 发布
原创 最新推荐文章于 2025-08-29 12:00:00 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码分析 #病毒

本文通过静态和动态分析方法,详细解析了一个旨在打开特定网址的恶意软件样本。该样本利用OLE32.DLL库中的函数实现IE浏览器的启动,并对注册表进行修改以达到持久化目的。

Lab 7-2

问题

1.这个程序如何完成持久化驻留?

解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看

图片
我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看

第一个函数CoCreateInstance这个函数是这样的

图片

看不懂,什么鬼,剩下两个函数看字面意思,一个是OleInitialize也就是ole初始话的,然后OleUninitialize这个函数,是反初始话ole

然后剩下的两个DLL并没有什么有价值的导入函数,第二DLL甚至没有导入函数

图片

然后还有这么几个导入DLL没有识别出来

图片

往后我们分析一下字符串看看,还是这个老套路

图片

也没有什么有价值的字符串出现,然后书中那些个出现的函数,我是没发现,是不是因为在这个两个DLL中没被识别出来

我试试用winxp去运行看看,然后还是这个样子的

图片

依旧找不到这个DLL

无法了,我们只好开始动态分析

图片

直接点运行之后,就会跳出一个窗口,然后就开始连接这个网址

图片

我们会发现这里,删除了一个键

已删除键 (1) 快照 A 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012017090520170906]

然后新建了这么几个键

新添加键 (5) 快照 B 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Default HTML Editor] 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012017092620170927]

这个看样子的话,是将这个Default HTML Editor设置成了Internet Explorer,然后便是增加了一个\Toolbar\WebBrowser,这个应该是浏览器的工具栏这里的位置,然后MenuOrder\Favorites应该就是收藏夹

然后看这个得不出什么重要的结论,我们开始IDA分析吧

图片

这里的main函数,一开始是先调用了OleInitialize这个函数,然后这个函数的作用根据书中的介绍就是初始化COM,然后便是一个判断jl跳转,具体不懂的可以看看我的Lab 4的博客

这里使用了test之后然后再使用这个jl跳转,这个其实就是判断两种情况的,具体的汇编原理分析我在Lab 4里面写了,就是这么两种情况

eax >= 0 和 eax < 0

如果eax>=0的话,jl不会跳转
然后如果eax<0的话,jl就会跳转了

然后我们看看这个函数OleInitialize返回值在MSDN中的定义是这样的

如果调用成功,返回S_OKS_OK=0
如果调用失败,返回S_FALSES_FALSE==1
其他错误返回特定的错误类型,一般这些错误都是小于0

所以这个jl语句的意思就是,如果返回的是除了S_OKS_FALSE之外的错误,那就直接跳转退出程序

图片

然后如果没有跳转结束,便是这样的一个代码片段

这里IDA将这个CoCreateInstance这个函数的返回COM对象标记为了ppv,然后按照书中的做法,我们为了确定这个程序是调用了那个COM对象,所以我们要去查看riidrclsid是对应了那个功能

我们双击就可以查看这两个变量真正的值是多少了

图片

riid的值是这样的

然后rclsid是这样的

图片

所以我们就开始查呗,书中是提到这个东西在的位置的,我们通过打开注册表编辑器可以看到,CLSID在注册表中的具体位置是在这里

HKLM\SOFTWARE\Classes\CLSID\

还有

HKCU\SOFTWARE\Classes\CLSID

我们可以先看第一个位置HKLM\SOFTWARE\Classes\CLSID\的地方

图片

这里有很多的CLSID,我们来找我们IDA中发现的值

图片

第一个数是2DF01h

图片

我们最后可以找到这个值的位置

LocalServer32就会发现这个CLSID会调用什么函数

图片

这里的数据显示的是"C:\Program Files\Internet Explorer\iexplore.exe"也就是IE浏览器的可执行文件在的地方

然后我们再去找找这个位置有什么HKCU\SOFTWARE\Classes\CLSID

不过我们并没有在这个地方发现这个CLSID

图片

然后我们就查明,这个函数调用了什么程序

图片

然后如果创建那个COM对象没失败,便开始调用这一串代码

这里就是通过调用这个COM对象,来将参数也就是那个网址传进去,然后便是打开一直到http://www.malwareanalysisbook.com/ad.htmlIE窗口

2.这个程序的目的是什么?

解答: 打开一个导向http://www.malwareanalysisbook.com/ad.html网页的IE浏览器

3.这个程序什么时候完成执行?

解答: 打开完IE导向那个网址之后就结束了

本文完

恶意代码分析实战实验Lab 7-2 +
m0_37442062的博客
05-06 561
Lab 7-2静态分析 IDA PRO动态分析1.这个程序如何完成持久化驻留?2.这个程序的目的是什么?3.这个程序什么时候完成执行?参考 静态分析 IDA PRO 字符串信息很少,但是没有加壳。 使用strings工具 书上说这个是Unicode字符。 导入函数 和COM对象有关。CoCreateInstance和OleInitialize函数使用COM功能。 主函数 该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的CO
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1719
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1450
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 &amp;lt;1&amp;gt; 类型,表达方法。 dw表示 double word。w表示word。H表示Handles &amp;lt;2&amp;gt; 句柄 比如一个窗口,模块,菜单,文件等等 &amp;lt;3&amp;gt; 文件系统函数 &amp;lt;4&amp;gt; 特殊文件 2.Windows 注册表 注册表用来保存操作
恶意代码分析实战07-02
Yale的博客
09-19 4296
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
Lab 7-2
bangren3304的博客
01-17 190
Analyze the malware found in the file Lab07-02.exe. Questions and Short Answers How does this program achieve persistence? A: This program does not achieve persistence. It runs once and then exi...
恶意代码分析实战实验Lab 6-1
m0_37442062的博客
05-06 494
Lab 6-11.由main函数调用的唯一子过程中发现的主要代码结构是什么?2.位于`0x40105F`的子过程是什么?3.这个程序的目的是什么?参考 1.由main函数调用的唯一子过程中发现的主要代码结构是什么? 先进行基础的静态分析 InternetGetConnectState函数用于检查本地系统的网络连接状态。 GetACP获取当前系统的代码页编码,如简体中文是 936。 GetCPinfo取得与指定代码页有关的信息。 使用strings GetCommandLineA获取命令行输入参数 E
XSS-Labs 靶场 Level 0-10关卡 WriteUp
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
03-23 932
今天,我花了大量时间通过 XSS-Labs 的挑战练习跨站脚本(XSS)漏洞。这次经历让我大开眼界,不仅让我理解了 XSS 的原理,还让我明白了作为一名开发者或安全专家,为什么要学习这些知识。为什么要学 XSS?XSS 是最常见的网络漏洞之一,也是最危险的漏洞之一。它允许攻击者向其他用户查看的网页中注入恶意脚本,从而窃取敏感信息,如 Cookie、会话令牌甚至登录凭证。了解 XSS 不仅能帮助开发者编写更安全的代码,还能保护用户免受潜在攻击。
BurpSuite xss漏洞16-20题以及相应知识点
最新发布
2201_75701682的博客
08-29 1058
这篇笔记总结了BurpSuite XSS漏洞练习16-20题的解题步骤和知识点。内容包括利用SVG标签绕过HTML过滤(题16)、通过闭合脚本标签注入恶意代码(题18)、使用转义符突破单引号限制(题19)以及处理HTML编码和反斜杠转义(题20)。笔记详细分析了每种攻击方式的原理,如利用SVG动画属性onbegin事件(题16)和JavaScript注释符规避语法错误(题19),并提供了具体的测试步骤和验证方法。这些案例展示了如何通过特殊字符组合和编码技术绕过常规防护机制,成功触发XSS漏洞。
单招十类(计算机基础)知识点整理【备考版本】
Lee's Blog
01-03 8400
计算机基础-知识点总结整理(一)基础理论考试内容1.信息、数据及通信的概念,计算机的发展历史与分类等。2.进制的概念及换算。3.信息安全基本知识、病毒及防治基本知识、社会信息道德及版权与知识产权的知识等。4.计算机硬件及相关设备的基础知识。5.数据存储及换算等。6.各种常用文件扩展名的意义等。(二)应用能力考试内容1.操作系统的使用2.网络基础知识及因特网的应用3.文字处理(Word)基本知识4.电子表格(Excel) 基本知识5.幻灯片(PowerPoint) 基本知识
XXE漏洞
qi_SJQ_的博客
01-21 696
概念 全称XML External Entity Injection, 即xml外部实体注入漏洞,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口 扫描、攻击内网网站等危害。 了解一些xml,我们知道xml是一种数据存储类型,用于传输,而html用于显示。 XML被设计为数据和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可 选)、文档元素,其焦点是数据传输工具。 自己当初的学习笔记 XML与HTML的主要差异: XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设.
恶意代码分析实战—实验7-2
qq_43481350的博客
09-01 294
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker 实验过程 首先我们可以使用Dependency Walker软件查看程序使用了哪些导入函数: 我们可以发现此函数会创建一个Co,OleInitialize用于初始化组件文件对象库,OleUninitialize用于关闭组件对象库 下面使用IDA进行分析分析以上主函数,发现其存在rid以及clsid,我们点开rid进入: 其圈出来的就是他的实际数据如下:0D30C1661- 0C
恶意代码分析实战》第7分析恶意Windows程序(课后实验Lab 7
qq_43443410的博客
08-19 2459
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2分析在文件.
恶意代码分析实战Lab0702
ACdream
02-25 428
动态运行程序行为:自动打开了网页:www.malwareanalysisbook.com/ad.html静态分析使用IDA标红线的这两个API是针对COM(组件对象模型)进行的操作不清楚IDA对于CLSID和IID格式的解读,在systemlookup网址没有查询到对应的查看对应的strings也没有找到与动态执行相关的URL,psz就是这个URL的值(UNICODE,可能格式不同导致IDA没有识...
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 858
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 802
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战 7 WinDbg
农夫果园好好喝的博客
01-24 1946
(好奇怪,没看到3)分析Lab 10-01.sys文件,发现导入表只有三个函数,第一个函数是KeTickCount,剩下两个函数是RtlCreateRegistry和RtlWriteRegistryValue,这告诉我们驱动可能访问了注册表。通过IO通信给驱动发送了控制码0ABCDEF01h,接下来的几个函数初始化了COM对象,并在每30s执行一次某个函数,这个函数有一个参数是这个网址字符串,经过在虚拟机运行程序可知,这是每30s弹出一个广告网页。当打开驱动文件,移动到它的入口时,看到如下代码。
恶意代码分析实战 Lab16-02
wangtiankuo的博客
08-30 791
知识点: TLS回调 TLS回调被用来在程序入口点执行之前运行代码。若可执行程序的PE头部包含一个.tls段,则可能此程序使用了反调试技术。 分析报告 1. 样本概况 样本名称Lab16-02.exe,编译器为Microsoft Visual C++ v6.0。 1.1样本信息 样本名称:Lab16-02.exe MD5值: E88B0D6398970E74DE1DE457B971
恶意代码分析实战 Lab 7-3 习题笔记
isinstance的博客
09-30 3004
Lab 7-3问题1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?解答: 我们还是先开始按静态分析来开始我们的分析(这里同时要分析.dll和.exe)我们会发现这里有一个CreateFileA和CopyFileA这两个函数,说明会创建一个文件和复制一个文件,这个创建文件可能会是什么日志之类的,复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF
利用注册表实现持久化的恶意代码分析
writeP的博客
04-08 646
代码sha256:8ea59c1e3054bc49c2b358eb73ccb59e5e662499bbc97d727c308291b270e06d 文件类型:doc文档 恶意代码类型:vba 在此文档的vb脚本中再次生成了一个xsl的文件,利用Msxml2.XSLTemplate.3.0对其进行解析: xsl文件sha256:2946CA5BCB02F440634...
sdte-lab7 主项目代码分析与实现
从“代码分析”和“实现”这两个关键词可以推断,该项目不仅要求参与者编写代码,还需要对现有代码结构进行深入理解和剖析,可能是基于已有框架进行功能扩展,或是对特定模块进行重构与优化。这种设计有助于培养...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值