恶意代码分析实战Lab0703

最新推荐文章于 2025-02-08 11:07:55 发布
最新推荐文章于 2025-02-08 11:07:55 发布
阅读量370 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kevin66654/article/details/79375849

动静态结合分析过程


特征字符串:kernel32和kerne132(注意是小写字母l和数字1)

程序在运行的时候要带一个参数运行~常量字符串~

这里CreateFile的功能是打开某个目录下的文件

看到main的最后几行代码,调用了函数4011E0,且参数是C:\*

IDA对4011E0的分析,看到了标志性API函数:FindFirstFile和FindNextFile。知道4011E0是对C盘下的文件进行地毯式搜索

当找到某个文件是以后缀.exe结尾的,调用4010A0处理

4010A0的功能没有分析出来,只看到了个标记字符0x4550(PE文件的magic)


静态分析差不多了,先运行下文件试试看

但是在机器上搜索不到kerne1.dll,这就很奇怪

用OD调试下

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 334
恶意代码实战详细分析
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2179
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
恶意代码分析实战Lab07——03.exe
4SecNet团队专栏
01-08 608
第一步:查看程序的基本信息(无壳) 第二步:查看资源信息(没有资源信息) 第三步:查看导入表、字符串资源等信息 通过查看导入表可以大概猜测一下程序的部分功能:应该是和文件操作有关系,打开一个已经存在文件或者是创建一个新的文件,并对该文件进行操作 在查看字符串的时候,可以看到一些可疑的字符串,像图中出现的Kernel32.dll和Kerne132.dll(在这里一个是系统的动态链接库文件而另一...
恶意代码分析实战实验7-3
qq_43481350的博客
09-01 622
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker,Process Monitor 实验过程 首先可以使用strings查看: lab07-03.exe文件: 我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。 下
C# 无法加载 DLL“kerne132”: 找不到指定的模块
Pollyfx的博客
02-07 760
后面再新建一个把.dll删了重试,会提示修改代码,如果不改也能正常运行。抱着幼稚的想法,是不是我的声明里没加.dll,在代码里加上试了一下。找了半天,没弄明白怎么处理,或者太复杂了,查了下我的声明函数。是不是第一引入需要加.dll后缀。今天联系写INI文件。在调试时出现如下错误。重新生成后运行不再报错。
​kernel32.dll文件丢失的几种解决办法,概述​kernel32.dll文件
szcsd123456789的博客
02-19 2232
​kernel32.dll文件是Windows操作系统中的一个非常重要的动态链接库文件。它不仅被广泛用于操作系统本身的正常运行,还被许多应用程序所依赖。
kernel32.dll动态链接库报错解决方法,提供四种解决kernel32.dll报错的方法
szcsd123456789的博客
11-28 9379
当我们的电脑出现"kernel32.dll是无法找到的"或者"缺少kernel32.dll"这样的错误提示时, 则样的提示都是属于kernel32.dll动态链接库报错,出现这样的错误提示窗口,就说明程序无法成功读取到该动态链接库文件。本篇文章就给大家提供四种解决kernel32.dll报错的方法。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
最新怎么解决kernel32.dll的详细步骤介绍
最新发布
2501_90210797的博客
02-08 1482
修复kernel32.dll文件的详细步骤可以归纳为以下几种方法,这些方法均基于当前最新的技术实践。
恶意代码分析实战》第7章 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 2339
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7章 分析恶意Windows程序(实验Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 838
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战07-02
Yale的博客
09-19 4274
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3922
目录 笔记: 实验Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1699
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码分析实战 Lab 7-1 习题笔记
isinstance的博客
09-20 1905
Lab 7-1问题1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)解答: 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数,会操作一个互斥量和一个线程还有这些好玩的函数,比如SetWaitableTimer,这是由于设置一个定时的函数,可以在时间到来的时候发出一个信号来激活一个线程然后就是Sleep,这个说明这个
恶意软件分析实战16-逆向Lab7-3
輚至消亡
09-28 412
实验包含2个文件, 一个是Lab07-03.exe, 另一个是Lab07-03.dll 双双没加壳: 先把exe文件拖入VT内: 发现如下, 大体猜测一下是搜索某个文件然后将找到后拷贝之类的操作。 查看一下dll文件的情况: 来看看具体的 首先进去后对比命令行参数是否为2个,不是则退出。对比参数是否为"WARNING_THIS_WILL_DESTROY_YOUR_MACHINE",如果不是则退出。 拖入OD,把该字符串作为参数传入 由于我们...
恶意代码实战07-03
weixin_50847719的博客
11-19 785
07-03exe和dll放网盘了,链接:https://pan.baidu.com/s/13qyq4Xd0I9cYAiWSGMGdPA 提取码:hlll –来自百度网盘超级会员V2的分享 老规矩,先简单静态分析 手动判断是否加壳,之前手写的笔记 看到FindFirstFile和FindNextFile说明恶意代码会搜索系统中的文件 先静态分析exe文件 IDA PRO .text:00401440 _main proc near ; CODE X.
恶意代码分析实战 Lab 1-3 习题笔记
isinstance的博客
08-28 1436
Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答: 略2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。解答: 这个还是要用老方法看看这里没显示C++或者C什么的,虽然结果也没显示常见的UPX壳,但是无疑这个加壳了的,壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数,可以
xss-lab 通关实战
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值