恶意代码分析实战实验Lab 3-1 + Lab 3-2

最新推荐文章于 2023-05-16 18:14:54 发布
最新推荐文章于 2023-05-16 18:14:54 发布
阅读量1k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_37442062/article/details/116405689

Lab 3-1

使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。

问题

1.找出这个恶意代码的导入函数与字符串列表?

使用PEID和strings
在这里插入图片描述
发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。
所以说题目中说使用动态分析嘛
使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。在这里插入图片描述
使用strings查看字符串
比较可疑的字符串
CONNECT %s:%i HTTP/1.0 联网
admin 管理员
vmx32to64.exe 检测虚拟机
在这里插入图片描述
可能使用到以上几个dll文件
注册表
SOFTWARE\Classes\http\shell\open\commandV
Software\Microsoft\Active Setup\Installed Components
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Fol

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1423
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验Lab 3-3+Lab 3-4
m0_37442062的博客
05-05 430
Lab 3-3 1.当你使用Process explorer工具进行监视时,你注意到了什么? 每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe 2.你可以找出任何的内存修改行为吗? 工具:process monitor 单击 然后选择image和memory practicalmalwareanalysis.log [SHIFT] [ENTER] [BACKSPACE] BACKSPACE [TAB] [CTRL] [DEL] [CAPS
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
Lab 3-2
bangren3304的博客
01-08 276
Analyze the malware found in the file Lab03-02.dll using basic dynamic analysis tools. Questions and Short Answers How can you get this malware to install itself? A: To install the malware as a ...
Lab 3-1
bangren3304的博客
01-08 595
Analyze the malware found in the file Lab03-01.exe using basic dynamic analysis tools. Questions and Short Answers What are this malware’s imports and strings? A: The malware appears to be packe...
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1529
Lab3-2 使用动态分析基础技术来分析Lab03-02.dll文件中发现的恶意代码1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4421
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验
恶意代码分析实战实验Lab 7-2 +
m0_37442062的博客
05-06 539
Lab 7-2静态分析 IDA PRO动态分析1.这个程序如何完成持久化驻留?2.这个程序的目的是什么?3.这个程序什么时候完成执行?参考 静态分析 IDA PRO 字符串信息很少,但是没有加壳。 使用strings工具 书上说这个是Unicode字符。 导入函数 和COM对象有关。CoCreateInstance和OleInitialize函数使用COM功能。 主函数 该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的CO
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 783
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1817
恶意代码分析实战Lab03-01.exe
恶意代码分析实战Lab0302
ACdream
01-29 325
同样先查壳 然后查看字符串 接下来使用IDA进行分析,因为是未加壳的代码,程序功能可以很轻松的通过程序逻辑以及调用的API函数来分析 10003415函数块分析 看到这些关键函数就知道了功能的 首先,InternetOpen,InternetConnect是使用HTTP协议进行互联网的访问操作 HttpOpenRequest,HttpSendRequest是
Lab03-01.exe恶意代码分析
weixin_51758733的博客
05-16 263
Lab03-0.exe恶意代码分析
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1726
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码实战Lab13-01分析
Cosmopolitan的博客
12-10 546
先用peid查一下信息 没加壳,vc6写的,拖入ida反编译 先从资源段解密信息,后来分析是url 进入decrypt函数,用的是xor 接下来上传信息 这里用od动态调试,获取主机名,strcpy base64加密主机名,这里可以用peid的插件识别出base64算法 用InternetOpenUrlA的get请求上传加密的信息 ...
恶意代码分析实战-行为监控
weixin_30520015的博客
01-11 375
进程监视器 ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。 通过Filter-Filter打开过滤菜单,过滤文件行为 查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。 进程浏览器 Process Explorer(进程浏览...
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1977
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 3213
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3
qq_43443410的博客
07-18 3328
3章 动态分析基础技术(实验Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
python调用默认浏览器_如何使用python获取默认浏览器的名称
weixin_39978350的博客
12-18 1013
我的脚本每隔X秒运行一次命令.如果命令类似于“开始www” – >在默认浏览器中打开一个网站我希望能够在下次执行命令之前关闭浏览器.以下脚本的这个简短部分:if "start www" in command:time.sleep(interval - 1)os.system("Taskkill /IM chrome.exe /F")我希望能够支持firefox,即chrome和opera,并...
vulnerability-lab实验
最新发布
12-27
### 关于Vulnerability-Lab实验资料与教程 对于希望深入理解并实践各种安全漏洞的学习者来说,`vulnerability-lab`提供了一系列精心设计的实验室环境来帮助理解和掌握不同类型的安全威胁及其防御措施。以下是针对不同类型的漏洞实验的具体介绍: #### SQL注入攻击实验 SQL注入是一种常见的Web应用程序安全风险,在特定条件下允许攻击者通过构造恶意输入绕过应用层验证逻辑直接操作数据库。为了学习这种技术的影响范围以及防护手段,可以通过设置MySQL或Microsoft SQL Server作为目标数据库来进行实战演练[^1]。 ```sql SELECT * FROM users WHERE username='admin' AND password=md5('password'); ``` 这段代码展示了如何利用MD5哈希函数处理用户提交的数据,防止简单的字符串拼接造成潜在的风险。 #### Heartbleed漏洞修复指南 Heartbleed是一个存在于OpenSSL中的严重缺陷,它使得服务器内存内容能够被非法读取。最有效的解决办法就是升级至最新的稳定版OpenSSL库文件,并确认所有依赖服务都已重启以加载新版本的安全补丁[^2]。 ```bash sudo apt-get update && sudo apt-get install openssl --only-upgrade ``` 上述命令适用于基于Debian系统的Linux发行版,用于在线获取官方维护者的更新包并对现有安装进行就地替换。 #### 竞争条件漏洞研究 当多个进程试图同时访问共享资源而缺乏适当同步机制时就会发生竞争状态问题。本实验旨在探索此类场景下的安全隐患,并指导学生编写线程安全的应用程序代码片段[^3]。 ```c pthread_mutex_t mutex; void* thread_function(void *arg){ pthread_mutex_lock(&mutex); /* Critical Section */ printf("Thread %d is executing critical section\n", *(int*)arg); sleep(1); // Simulate work being done. pthread_mutex_unlock(&mutex); } ``` 以上C语言例子说明了互斥锁(Mutex)的作用原理,确保同一时刻只有一个线程能进入临界区执行敏感操作。 #### 缓冲区溢出漏洞探究 缓冲区溢出是指向固定大小的存储区域写入超出其容量的数据所引发的一类编程错误。这类错误可能导致程序崩溃甚至让外部实体取得控制权。参与者将在指导下构建易受攻击的服务端软件实例,进而了解堆栈保护和其他缓解策略的重要性[^4]。 ```assembly push ebp mov ebp, esp sub esp, 0x8 lea eax, [ebp-0xc] mov DWORD PTR [eax], 0xdeadbeef ; Overwrite return address with controlled value leave ret ``` 汇编指令序列揭示了一个典型的栈帧布局破坏过程,其中返回地址被篡改为指向攻击者指定的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值