恶意代码分析实战实验Lab 7-3

最新推荐文章于 2024-10-21 08:27:42 发布
原创 最新推荐文章于 2024-10-21 08:27:42 发布 · 783 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Lab 7-3

静态分析strings + IDA pro

查看字符串
exe
在这里插入图片描述

kerne`132`.dll
kernel32.dll
C:\windows\system32\kerne`132`.dll
C:\Windows\System32\Kernel32.dll

WARNING_THIS_WILL_DESTROY_YOUR_MACHINE 本书专制
dll

在这里插入图片描述
exec、sleep、hello
127.26.15.13 恶意代码可能访问该IP地址
SADFHUHF
导入函数
exe重点看kernel32.dll下大量和文件相关的函数
在这里插入图片描述
CreateFileACreateFileMappingA以及MapViewOfFile表明该程序可能打开一个文件,并将其映射到内存中。这个 FindFirstFileA 和FindNextFileA函数组合,可能会搜索文件,并使用CopyFileA 对找到的文件进行复制操作。该程序没有导入Lab 07-03.dll(DLL中的函数)、LoadLibrary或者GetProcAddress,暗示它可能没有在运行时加载那个DLL。
dll文件的导入函数
重点看kernel32.dll
在这里插入图片描述
GetProcessA函数,可能会创建另一个进程。

分析EXE

.text:00401440                 mov     eax, [esp+argc]
.text:00401444                 sub     esp, 44h
.text:00401447                 cmp     eax, 2#①
.text:0040144A                 push    ebx
.text:0040144B                 push    ebp
.text:0040144C                 push    esi
.text:0040144D                 push    edi
.text:0040144E                 jnz     loc_401813#②
.text:00401454                 mov     eax, [esp+54h<
最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 795
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 490
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,结合该章节的内容而设计的,非常值得每一位读者认真练习。但是由于该练习题库在国内网站上并不提供,就算有也是可能需要积分之类,并且还不能保证该题库没有被加载额外的病毒木马。于是我在作者的网站上下载了这一套题库,提供给各位有兴趣的读者。需要特别说明的是,由于该练习题本身就是病毒木马,所以大家一定要在虚拟机的环境下执行,并且在解压缩时会被杀软报毒,也请给位留意。
恶意代码分析实战实验7-3
qq_43481350的博客
09-01 622
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker,Process Monitor 实验过程 首先可以使用strings查看: lab07-03.exe文件: 我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。 下
Lab 7-3
bangren3304的博客
01-17 344
For this lab, we obtained the malicious executable, Lab07-03.exe, and DLL, Lab07-03.dll, prior to executing. This is important to note because the malware might change once it runs. Both files we...
恶意代码分析实战 Lab 7-3 习题笔记
isinstance的博客
09-30 2972
Lab 7-3问题1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?解答: 我们还是先开始按静态分析来开始我们的分析(这里同时要分析.dll和.exe)我们会发现这里有一个CreateFileA和CopyFileA这两个函数,说明会创建一个文件和复制一个文件,这个创建文件可能会是什么日志之类的,复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF
恶意代码分析实战实验——Labs-05
草草君
09-14 965
恶意代码分析实战实验——Labs-05 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题恶意代码分析实战实验——Labs-05Labs-05-1实验 Labs-05-1实验 1.  DLLmain函数地址是什么?    回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。 2.   使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1276
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1423
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验——Labs-09
草草君
10-22 1187
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战
06-23
恶意代码分析实战 作者:Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)出版社:电子工业出版社出版时间:2014年04月 不管你是否有恶意代码分析的背景和经验,《恶意代码分析实战》极其丰富的内容都将使你获益匪浅。   《恶意代码分析实战》教你如何、以及何时使用恶意代码分析技术,深入掌握恶意代码分析工具的核心功能,从而达到准确诊断、及时突破、快速响应的效果。   《恶意代码分析实战》一经问世,便赢来业内好评如潮,被业内人士一致推荐为入门、晋级的优秀读本。 详尽,经典——每一位认真学习过《恶意代码分析实战》的读者,必将在恶意代码分析的专业技能上获得巨大的提升。 《恶意代码分析实战》是业内公认的迄今为止优秀的一本恶意代码分析指南,《恶意代码分析实战》也是每一位恶意代码分析师都必须作为指导手册珍藏的案头必备。 《恶意代码分析实战》既是一本教材,也是一本动手实践的指南。不仅教会你如何分析恶意代码(技术指导),而且配了大量的实验练习、案例、答案以及详细的分析过程,同时还包含很多用作案例的恶意代码样本,提供了丰富、安全的学习环境。 针对初学者:本书的技术内容、实验作业可以帮你渐入佳境; 针对中级读者:本书大量的分析实践会直接带你进入更高的级别,臻入化境。
恶意代码分析实战实验——Labs-06
草草君
09-28 751
恶意代码分析实战实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
恶意代码分析实战实验9-2
qq_43481350的博客
09-01 674
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战实验6-3
qq_43481350的博客
09-01 260
实验环境 实验设备环境:windows xp 实验工具:PEID,strings,IDApro 实验过程 首先使用strings进行静态分析如下: 我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。 下面可以使用PEID查看一下导入表: 我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。 我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。 下面使用IDA进行分析: 1、比较在main函数中与
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3869
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意软件分析实战16-逆向Lab7-3
輚至消亡
09-28 414
实验包含2个文件, 一个是Lab07-03.exe, 另一个是Lab07-03.dll 双双没加壳: 先把exe文件拖入VT内: 发现如下, 大体猜测一下是搜索某个文件然后将找到后拷贝之类的操作。 查看一下dll文件的情况: 来看看具体的 首先进去后对比命令行参数是否为2个,不是则退出。对比参数是否为"WARNING_THIS_WILL_DESTROY_YOUR_MACHINE",如果不是则退出。 拖入OD,把该字符串作为参数传入 由于我们...
恶意代码分析实战_03动态分析基础技术_实验
kitsch0x97的博客
05-13 628
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 832
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战lab5
qq_74420726的博客
10-21 970
实验目的 (1)完成教材上lab5的题目; (2)在样本分析结果的基础上,编写样本的Yara检测规则。 (3)尝试编写IDA Python脚本来辅助样本分析实验原理 IDA Python 是 IDA Pro 的强大脚本接口,它允许我们通过 Python 语言与 IDA 的各种分析功能进行交互。IDA Python 提供了丰富的 API 和库来辅助逆向工程和二进制分析。以下是一些常用的 IDA Python 特有函数和库: 1. idc 模块 idc 模块包含了 IDA 中很多通用的低层次函数,例如操作字
vulnerability-lab实验
最新发布
12-27
实验旨在探索此类场景下的安全隐患,并指导学生编写线程安全的应用程序代码片段[^3]。 ```c pthread_mutex_t mutex; void* thread_function(void *arg){ pthread_mutex_lock(&mutex); /* Critical Section */ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值