恶意代码分析实战Lab0903

最新推荐文章于 2023-01-24 20:56:08 发布
最新推荐文章于 2023-01-24 20:56:08 发布
阅读量433 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kevin66654/article/details/79439303

首先动静态结合分析程序

跑起来会发现调用了3个DLL,用IDA先来看看main

简单猜想DLL1Print()是调用了DLL1,DLL2Print()是调用了DLL2

这里的extrn:说明这个函数是由外部实现的,这里是直接的外部调用(extern)


调用DLL3Print()函数是采用的不同的姿势

先使用LoadLibrary来获取DLL的句柄,接着使用GetProcAddress得到函数入口

所以v9是DLL3Print,v7是DLL3GetStructure

然后出现了一个原来没玩过的API:NetScheduleJobAdd(A,B,C)

根据英文的拼写可以猜到是在当前机器上添加了一个网络的计划任务,上网搜搜怎么查看当前的计划任务

再Sleep了100s,就把IDA中的main框架分析完了


然后来看DLL1


第一想法:这里的10001038函数,就是printf!但是为啥每次运行值都不一样呢,就很奇怪<

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1667
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 330
恶意代码实战详细分析
恶意代码分析实战9-3
Yale的博客
05-27 809
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么 Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么 Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么 Q
恶意代码分析Lab09-03
m1287578441的博客
06-07 492
恶意代码分析Lab09-03
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1728
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 2153
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2178
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
恶意代码分析实战Lab1302
ACdream
06-10 294
main -&gt; 1851 -&gt; 1070,181F,1000碰到了好多不认识的WINAPI函数GetSystemMetrics:该函数只有一个参数,称之为「索引」,这个索引有75个ID,通过设置不同的标识符就可以获取系统分辨率、显示区域的宽度和高度、滚动条的宽度和高度等。来自MSDN~~~获取屏幕的宽度和高度GetDesktopWindow:该函数返回桌面窗口的句柄。桌面窗口覆盖整个屏...
VC实现的添加系统计划任务
01-28
VC实现的添加系统计划任务,十分实用,主要是演示了NetScheduleJobAdd的使用方法
恶意代码分析实战 Lab 1-3 习题笔记
isinstance的博客
08-28 1435
Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答: 略2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。解答: 这个还是要用老方法看看这里没显示C++或者C什么的,虽然结果也没显示常见的UPX壳,但是无疑这个加壳了的,壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数,可以
恶意代码分析实战 3 IDA Pro
农夫果园好好喝的博客
01-24 1480
双击进入sub_100038EE函数查看,发现其调用了了malloc函数创建了内存空间,然后又调用了send函数,最后调用了free函数释放内存空间,所以猜测可能是对注册表SOFTWARE\Microsoft\Windows\CurrentVersion进行了修改或查询操作,然后再将结构发送出去。该函数调用了GetSystemDefaultLangID和send,该信息告诉我们,该函数可能通过socket发送语音标志,因此,右击函数名,给他一个更有意义的名字,例如send_languageID。
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1153
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
Windows API
ACdream
02-22 698
http://blog.youkuaiyun.com/chinamming/article/details/18994783啊有关任务计划的API函数:增加任务计划:NetScheduleJobAdd()删除任务计划:NetScheduleJobDel()枚举特定主机上的所有任务计划:NetScheduleJobEnum()获取特定主机上的任务计划信息:NetScheduleJobGetInfo()获得任务计...
NetScheduleJobAdd函数添加任务计划的方法
人生代码,代码人生。。。
11-02 2829
//必须启动系统的Task Scheduler服务 #include #include #include #include #include #pragma comment(lib,"NETAPI32.LIB") void Jobadd() { DWORD JobId, ret; AT_INFO ai; char *filepath;
IPC$横向渗透代码实现
weixin_30662539的博客
02-16 523
思路 IPC$横向渗透的方法,也是病毒常用的扩散方法。 1、建立连接 2、复制文件到共享中C$、D$、E$、F$ 3、获取服务器的时间 3、设定计划任务按时间执行 用到的Windows API 建立网络驱动器 WNetAddConnection2() WNetAddConnection2W( _In_ LPNETRESOURCEW lpNetResource, ...
xss-lab 通关实战
最新发布
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值