恶意代码分析实战Lab1501

最新推荐文章于 2022-03-14 10:51:45 发布
最新推荐文章于 2022-03-14 10:51:45 发布
阅读量249 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kevin66654/article/details/80794088
本文通过IDA工具展示了如何分析和修复特定的程序错误。利用IDA的Options-Generals功能查看字节码,揭示了E8字节的花指令技巧,并通过调试发现了字符串匹配失败的原因,最终确定了目标字符串为“pdq”。文章还介绍了如何在IDA中切换代码数据和指令视图。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IDA大法中有这个功能:Options - Generals

就可以看到字节码了

根据书中介绍,这就是E8字节的花指令大法,总共用了4次,我们都patch一下保存


成功把红色的“错误”都去掉之后,来分析逻辑

代码中多次出现jnz short loc_40105E

所以很明显这里是字符串匹配失败的地方,提示为:

在OD里调试一发设置个参数跑一下就有了

在401017处取的是字符串第一个字符,与0x70作比较


在401027处,取第三个字符

所以最后的结果是“pdq”


在IDA里其实也是完全可以看出来的

C和D可以在IDA中对代码数据和指令进行切换


根据前面两个判断,401042处明显是指令


恶意代码分析实战Lab0303
ACdream
01-30 581
这个照例还是先查壳,VC++6.0的 然后使用IDA静态分析Imports和Exports,对几个关键函数进行简单静态分析 问题1:使用工具Process Explorer监视 根据问题的提示,打开Process Explorer,双击运行程序,发现了这个 在程序运行时,调用了svchost.exe。这个二进制程序是个系统文件,结合IDA静态分析,很有可能对这个程序做了恶意
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 327
恶意代码实战详细分析
恶意代码分析实战 Lab15
baidu_41108490的博客
06-05 577
lab15-01在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了第一个比较,要求命令行参数是两个,其中一个是程序名接着是取出第二个参数的第一个字节作比较,可以知道参数是pdqlab15-02修正过程中就两个地方注意一下,其他的都跟第一题一个手法第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道...
恶意代码分析实战第15章实验
weixin_41487541的博客
03-14 571
首先IDA中定位到所有对抗反汇编技术并修正。 第一处: 0040115E处发现对抗反汇编技术,栈顶指针一定非0,所以test esp,esp一定非0;jnz则会执行到loc_40115E+1。 在0040115E处按D查看数据: 在0040115F处按C转换为代码: 可以看出db 0E9h即为干扰。 第二处: 在004011D0处将eax清0又使用jz命令,能够看出这是一个固定条件的跳转方式。在004011D4处按D查看数据: 在004011D5处按C转换为代码: 这.
恶意代码分析实战Lab0501补充
ACdream
02-17 332
首先是网上的分析writeup:https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/PSLIST:检测操作系统平台为VER_PLATFORM_WIN32_NT;操作系统版本不低于windowsXP(没找到证据)问题14处的时间应该是30s,30000ms问题17:找寻0xED,一个一个翻可...
恶意代码分析实战Lab0602
ACdream
02-18 248
问题1:main调用的第一个子过程问题根据函数调用逻辑关系,main中第一个子过程是401000,第二个子过程是401040。401000的操作:InternetGetConnectedState:判断当前机器是否连接互联网问题2:位于40117F的子过程401000的操作40117F函数在IDA成这样看不出来细节要做什么根据main的图示,分析401000和401040的代码逻辑,发现40107...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2173
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1695
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
浅析古典密码学(仅作纳新使用)
Y-Y-K的博客
08-26 1044
浅析古典密码学置换密码1.列置换密码(矩阵置换密码)2.周期置换密码3.栅栏密码代替密码1.凯撒(Caesar)密码2.棋盘密码3.摩斯密码4.playfair5.单表替换6.多表替换7.仿射密码博福特密码练习平台其他说明 古典密码是密码学的根源,虽然都比较简单而且容易破译,但研究古典密码的设计原理和分析方法对于理解、分析以及设计现代密码技术是十分有益滴 置换密码 1.列置换密码(矩阵置换密码) ...
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 2014
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
恶意代码分析实战Lab0701
ACdream
02-25 559
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
[2018看雪] - 第四题 - 对抗反汇编+密码
ACdream
07-20 958
逆向断章取义 MIRACL大数库了解一下   在OD中调试下断的时候,看到了这个字符串 有个反调试原理:查看当前进程的父进程是否为explorer.exe 双击运行和cmd运行的程序的父进程都是explorer.exe,在OD下调试的程序的父进程是OD,这可以作为一个反动态调试的原理根据,奇怪的是对OD没啥用,还是可以正常下断正常调试(除了输出的提示字符串不同,不影响...
i春秋第二届春秋欢乐赛登山者writeup
iqiqiya的博客
06-26 3568
转自Flying_Fatty大佬博客  写的很详细  本来想自己再写的https://blog.youkuaiyun.com/kevin66654/article/details/70493566这个题的Hint:求二维矩阵左上往下走,可以向下,也可以向右下的最大值(打过ACM的话,就知道是dp的数字三角形模型题)IDA里静态分析,发现程序逻辑比较简单,先有一个init的初始化函数,然后就是对我们的输入进行c...
CodeForces - 722C Destroying Array
fx714848657的博客
09-08 203
这题用线段树来解是有点***,但是确实学到了很多。 参考博客: https://blog.youkuaiyun.com/kevin66654/article/details/52727079   我来解释几个晦涩点: (1) 意思是可能是在左边,可能是在右边,也可能是跨区间的,第三个的意思是跨区间。当然,如果左右子区间都是连续的,这三个的数值就相同了。 我已开始有一个疑问,如果再左右子树的分...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4218
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
恶意代码分析实战Lab0901
ACdream
02-27 547
和0304是同一个程序,下面是自己当时对0304的分析http://blog.youkuaiyun.com/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
抗去除花指令(一)——花指令基础
lixiangminghate的专栏
01-04 3051
转自 http://blog.youkuaiyun.com/yangbostar/article/details/6194133 入门知识,高手勿读 一、 概述 花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的
xss-lab 通关实战
最新发布
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值