恶意代码分析实战Lab1202 Lab1203

最新推荐文章于 2022-10-23 19:51:30 发布
原创 最新推荐文章于 2022-10-23 19:51:30 发布 · 241 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过对svchost.exe的一系列操作及分析,揭示其如何通过异或加密隐藏文件及特征字符串,最终解密出Lab12-03.exe文件。分析过程中利用IDA等工具跟踪了CreateProcessA等关键API调用,推测该程序为键盘记录器。


从系统目录下对svchost.exe做操作


在4010EA中发现:


运行:拖入cmd运行,把cmd顺手都给关掉了

分析到这里,发现五个题目一个都解决不了,说明还有好多细节点没有分析到

但是,注意到exe同目录下,生成了一个practicalmalwareanalysis.log的文件,打开:

发现:监控了所有进程的运行、输入等情况,并进行记录保存


然后挨个分析函数内部细节

说明运用了异或加密来隐藏文件和特征字符串


根据书上的参考解答再来学习跟踪一下

分析逻辑:IDA中的strings、Imports、Exports

CreateProcessA、GetThreadContext、SetThreadContext、ResumeThread:程序可能创建新进程,并且修改金成中的线程上下文

ReadProcessMemory、WriteProcessMemory:程序对进程内存空间进行读写

LockResource、SizeOfResource:进程中比较重要的数据可能是保存在资源节中的

打开ResHacker看一眼资源节:

所以尝试把这个扣出来,异或上'A',得到解密后的文件

保存下来,然后用WINHEX对所有字节进行XOR操作,即可得到:Lab12-03.exe

问题和回答就不列出来了,书上的分析太详细了


分析12-03

根据SetWindowsHookEx,以及log文件,可以猜测是对某些信息进行文件日志记录

这就可以下判断:是一个键盘记录器了

在exe的当前目录下,会生成一个log文件,对键盘进行记录

恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 957
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
恶意代码分析实战lab3
最新发布
qq_74420726的博客
10-13 1199
它集成了 Filemon 和 Regmon 的功能,可以帮助分析和调试系统问题,追踪应用程序的行为,特别是在恶意软件分析中,它是检测和跟踪恶意软件行为的有力工具。Process Explorer 是一个高级的系统任务管理工具,能够显示详细的系统信息,包括正在运行的进程、打开的句柄和加载的 DLL。在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码
恶意代码分析实战12-03
Yale的博客
09-20 525
本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题 Q1.这个恶意负载的目的是什么? Q2.恶意负载是如何注入自身的? Q3.这个程序还创建了哪些其他文件? 首先使用IDA载入文件 在imports窗口中看到了SetWindowsHookExA,这个函数可以用于应用程序挂钩者监控windows内部事件 切换到view-a 在040105b处调用了SetWindowsHookExA 第一个参数idHook的值是0Dh,通过MSDN可知对应的是WH_KEYBOARD_LL,可知安装这
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1499
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1683
Lab3-2 使用动态分析基础技术来分析Lab03-02.dll文件中发现的恶意代码。 1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 1163
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1943
恶意代码分析实战Lab03-01.exe
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 806
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab3
weixin_47038938的博客
04-10 1841
第三章动态分析基础技术恶意代码分析实战Lab3-1Lab3-21.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 1.操作场景:VMware workstation 15.5 + Windows7 VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519 2.实验工具: ProcessExplorer:https://d
恶意代码分析实战Lab0901
ACdream
02-27 584
0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 2107
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
精选资源
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
精选资源
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
UPX脱壳
ACdream
01-23 4396
UPX脱壳
WINDOWS网络API总结
ACdream
06-16 3064
一:WinSock APIWSAStartup,getaddrinfo,socket,connect,send,recv,WSAGetLastError二:WinINet APIInternetOpen:初始化一个应用程序,以使用 WinINet 函数InternetConnect:建立 Internet 的连接,成功返回非0。如果返回0。要InternetCloseHandle释放这个句柄Int...
FSG脱壳
ACdream
01-25 1419
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
恶意代码分析实战Lab1
ACdream
01-25 1262
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战Lab0301
ACdream
01-28 1111
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0304
ACdream
02-04 764
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码反虚拟机技术详解与实战分析
本文围绕“恶意代码反虚拟机技术分析”这一主题,深入探讨了攻击者如何利用多种底层机制识别其运行环境是否为虚拟机,并据此决定是否执行恶意行为,从而逃避安全研究人员的动态分析与检测。该技术不仅体现了现代恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值