恶意代码分析实战Lab0304

最新推荐文章于 2023-05-21 00:31:29 发布
最新推荐文章于 2023-05-21 00:31:29 发布
阅读量729 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后习题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kevin66654/article/details/79250908

首先查壳,VC++

静态分析IDA

函数402020分析:

从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020

可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能

当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。

如果开发者为了防止别人的破解,就需要在自己开发的层面上,给自己和破解者施加更多的难题,本身就是一件竞争起来很好玩的事情。


根据menu,4019E0为UploadFunc

关键API提示的很明显,新建文件,通过SOCKET通信来复制并写入文件

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4124
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 326
恶意代码实战详细分析
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 1032
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码分析实战—实验3-4
qq_43481350的博客
09-01 402
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码分析实战Lab03——04.exe(详细分析
4SecNet团队专栏
12-26 1144
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
恶意代码分析实战 Lab 3-4 习题笔记
isinstance的博客
09-05 1013
问题1.当你运行这个文件时,会发生什么呢?解答: 一开始我们使用静态分析技术来看看这个文件有文件的操作,也有进程的操作PEiD显示没有加壳资源节也没有藏东西然后看看字符串用ida有一个command.com的网址还有一些应该错误处理函数的输出字符串 最上面的有个注册表的位置是SOFTWARE\\Microsoft\\XPS有一个HTTP的字符串,还有那个恶意网址说明这个程序会联网然后运行看看然后跟
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战课后习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2173
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
Lab03-04.exe恶意代码分析
weixin_51758733的博客
05-21 340
Lab03-04.exe恶意代码分析
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
2019 CG Lab 03 -Lab 04_nodejs_TheFirst_ComputerGraphics_
10-03
The lab discuss the problem faced when image is loaded without http protocol and then describe in step by step manner that how to run first node js application for graphics.
Lab 3-4
bangren3304的博客
01-09 229
Analyze the malware found in the file Lab03-04.exe using basic dynamic analysis tools. (This program is analyzed further in the Chapter 9 labs.) Questions and Short Answers What happens when you...
恶意代码分析实战Lab01-03,lab01-04
Yale的博客
07-13 2509
分析lab01-03.exe,lab01-04.exe 先来看lab01-03.exe Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 931
一、实验内容 1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1409
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战 Lab 11-3 习题笔记
isinstance的博客
06-11 1674
问题 分析恶意代码Lab11-03.exe和Lab11-03.dll 确保这两个文件在分析时位于同一个目录下 1. 使用基础静态分析过程,你可以发现什么有趣的线索? 解答:我们还是按照书上的步骤走一遍 我们想做基本的静态分析 我们查看Lab11-03.exe的导入函数,这里我们会看到,从KERNEL32.DLL中导入了这些函数,其中几个被标黄的比较有趣,比如这个Compar...
恶意代码实战分析——lab11-02
weixin_51409218的博客
03-04 462
恶意代码实战分析——lab11-02
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4414
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
xss-lab 通关实战
最新发布
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值