恶意代码分析实战Lab1502

最新推荐文章于 2023-12-25 17:49:02 发布
原创 最新推荐文章于 2023-12-25 17:49:02 发布 · 339 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过单步调试和patch指令来隐藏字符串的技术,并详细分析了如何在IDA和OD中进行操作,包括如何处理有毒的E8和E9字节,以及如何通过观察跳转指令来理解程序的行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

4102386:隐藏字符串的姿势之一:把字符串的赋值改成一个一个字符赋值


这样在strings中就看不到了

在main中,出现了一个红色调用:

在OD中明显可以看到:

在分析函数功能的时候看到了这个:

这个用patch E8字节的方法不太对,所以就选择单步调试下它的参数


s = "63Qpkjf.Qpofs"
print len(s)
for i in s:
	print chr(ord(i) - 1),


在IDA里需要patch的地方:

将E9改成90

将E8改成90


在OD中需要手动改几个跳转

gethostname:返回标准主机的主机名

之后就可以F4到40113F

401386函数的功能就是生成一个字符串

这个跳转不能让它跳过来

这个需要跳转


为了分析下面代码的反汇编,这个不能让它跳转


刚才所有的patch:

修改这个Z的标志位就好

然后就报错了。。。调试思路完全不对啊:因为我刚才的修改,程序的下一步操作是在我们从Internet中读出的字符串里找到“:”字符,因为原字符串是空的,所以报错了


所以换种思路,直接把E8和E9这种有毒的字节patch掉

这个函数的调用说明这样改是对的

相当于jmp


在函数区段里找一找,发现了这一一堆赋值

所以程序肯定和本地计算机的账户有关


第一个请求的URL:bamboo.html


从书中答案总结的分析过程如下:

40115A为假恒成立的表达式,因此一定会满足jnz的跳转(正常程序的esp肯定不为0)

熟练使用data和code的转换,就可以把0xE8抠出来(nop掉是最好的吧)

然后是jz和jnz,两者有且只有一个成立,相当于jmp

下面的反汇编技术显得高级一点:

对eax清零后,jz跳转恒成立,相当于往回的跳转,那么跳转到的是mov ax, 5EBh的中间部分的字节

但是仔细想想其实没有关系,因为之后eax就清零了,所以:还是可以使用刚才data和code的转化方法,变成这样:

相当于两个跳转,最后到的是4012EF

恶意代码分析实战lab12-4
qq_49243247的博客
07-11 335
恶意代码实战详细分析
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2180
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1702
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 769
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 279
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1416
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
4SecNet团队专栏
12-21 543
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 1085
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 564
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 558
和0304是同一个程序,下面是自己当时对0304的分析http://blog.youkuaiyun.com/kevin66654/article/details/79250908从IDA分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1594
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
恶意代码分析实战 Lab15
baidu_41108490的博客
06-05 580
lab15-01在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了第一个比较,要求命令行参数是两个,其中一个是程序名接着是取出第二个参数的第一个字节作比较,可以知道参数是pdqlab15-02修正过程中就两个地方注意一下,其他的都跟第一题一个手法第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道...
xss-lab 通关实战
最新发布
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码来执行各种有害操作[^1]。 #### 防御策略概述 为了有效应对这种类型的威胁,采用白名单过滤机制成为不可或缺的选择。该方法只允许特定的安全标签及其属性通过,从而阻止任何潜在危险的内容进入系统。此外,遵循安全开发生命周期中的最佳实践对于构建稳固防线至关重要。 #### 实施具体措施 - **输入验证**:确保所有来自用户的HTML输入都经过严格的语法和结构检查。 - **编码输出**:在显示之前对特殊字符进行转义处理,防止它们被浏览器解释成可执行代码片段。 - **使用库工具**:借助成熟的第三方组件如DOMPurify可以帮助简化这一过程并提高效率。 - **定期测试**:持续开展渗透测试活动以发现新的风险点,并及时调整防护手段。 ```javascript // 使用 DOMPurify 净化 HTML 输入示例 const dirtyHtml = '<img src="x" onerror="alert(1)">'; // 假设这是未经净化的数据 const cleanHtml = DOMPurify.sanitize(dirtyHtml); console.log(cleanHtml); // 输出:<img src="x"> ``` #### 参考案例研究 Mall4J是一个实际运用了上述原则的成功范例。该项目不仅实现了前后端分离架构下的全面功能支持,还特别加强了针对XSS攻击的有效预防措施,在源码层面提供了良好的示范作用[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值