病毒分析教程第六话--高级病毒分析(上)

最新推荐文章于 2025-02-09 14:26:17 发布
原创 最新推荐文章于 2025-02-09 14:26:17 发布 · 730 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#病毒分析

本文是《恶意代码分析实战》教程的第六部分,重点关注高级病毒分析。通过Lab 11-1,分析了恶意代码如何从资源节释放msgina32.dll到磁盘,并通过篡改HKLM...\Winlogon\GinaDLL实现驻留。病毒利用GINA接口,将msgina32.dll设置为GinaDLL值,达到开机自动加载。恶意代码在msgina32.dll中窃取用户登录凭证,将敏感信息填充到特定字符串并写入msutil32.sys文件,该文件位于C:\Windows\system32下。为了观察凭证窃取,需在测试环境中重启并重新登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

高级病毒分析(上)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 11-1

本节实验使用样本Lab11-01.exe。

这个恶意代码向磁盘释放了什么?

查看导入表,有资源操作相关的API,直觉告诉我们该病毒会从资源节中读取并释放文件。
1

果不出其然,病毒读取资源节中的数据后,将其写入当前路径的msgina32.dll文件中。
2

这个恶意代码如何进行驻留?

定位到注册表API,发现病毒对HKLM…\Winlogon\GinaDLL进行了篡改,与Run启动项不同,该注册表项的利用过程相较复杂点,
3

GINA(微软图形识别和验证界面)设计的初衷是作为一个给第三方DIY登陆过程的接口,只要在GinaDLL键值中配置自己的dll,该dll就能在开机时被Winlogon自动加载。所以,病毒常使用这种方法来加载恶意dll,如下,将msgina32.dll(这名字起到了混淆作用)设置为GinaDll的值,就达到了持久化攻击的目的。

最低0.47元/天 解锁文章

200万优质内容无限畅学
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 9190
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
病毒分析
bilibili的博客
11-14 7817
病毒分析
病毒分析教程第六--高级病毒分析(中)
安全杂货铺
12-10 899
高级病毒分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1582
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
病毒分析教程第五--动态调试分析(中)
安全杂货铺
09-18 556
动态调试分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。 PS:由于动态调试分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 9-1 本节实验使用样...
病毒分析教程第一--静态特征分析
安全杂货铺
06-21 4813
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
病毒分析
曲终人散
08-10 604
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
计算机病毒分析在线作业参考答案 本资源为《计算机病毒分析》在线作业-2 参考答案,涵盖计算机病毒、木马、恶意代码、逆向工程、调试技术等多方面的知识点。 1. SSDT 钩挂的方法有遍历 SSDT 表、使用查杀病毒的...
典型病毒分析
01-18
对网络病毒的深入理解对网络病毒的深入理解对网络病毒的深入理解
病毒分析教程第六--高级病毒分析(下)
安全杂货铺
12-21 709
高级病毒分析(下) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-3 本节实验使用样本Lab11-03.exe和Lab11-03.dll。 使用基础的静态分析过程,你可以发现什么有趣的线索? 在Lab11-03.exe包含跟“cisvc”相关的字符串,说明该程序应该会进行跟cisvc服务相关的操作,同时,该程序还...
如何快速分析病毒程序,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
02-09 834
到这里wireshark抓包可以暂停了,结合刚刚查看到的IP地址到wireshark数据包中比对查看,命令:ip.addr == IP地址,这里抓到的IP地址产生的数据包为SYN信息,所以无行为数据,主要是给大家提供一个方法和思路,在实际操作需要进一步通过wireshark查看其行为内容,获得更多数据信息。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的,希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。
病毒分析技巧
03-22 762
讨论病毒调试技术病毒调试技术跟一般的解密或者逆向分析过程类似,但是由于病毒独有的破坏性,因此决定了调试时候的一些特殊特。如果你有一台专门的机器供你虐待,那你可以略过本文不提;如果你自认为可以用VM对付各种病毒,你也可以略过本文不提,直到有一天某xx病毒检测VM并对此做出反应;下面仅仅讨论一般的病毒调试时候需要注意的事项。1、  如果仅仅出于学习目的,可以找一些经典的病毒进行分析,既可以学习东西,也
简单病毒分析及手工查杀
m1287578441的博客
06-08 2100
简单病毒分析及手工查杀
病毒样本分析学习一
weixin_45299049的博客
10-01 2077
简单的一次静态病毒样本分析
3601病毒分析
datouyu0824的博客
03-20 1537
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
病毒分析基础
hanyang291的专栏
05-24 2071
第 1 章病毒分析病毒分析是将病毒行为还原的过程,在此过程中病毒的行为流程将被分解,病毒的每一步操作都有可能影响正常的操作系统配置或文件。病毒分析的基础是依托于逆向工程的基础,所以在做病毒分析工作之前好好学习下逆向工程知识。 如果在实体机里分析病毒,会影响到实体机的日常使用,所以我们需要建立虚拟的环境来分析病毒。 1.1 建立病毒分析环境用虚拟环境来分析恶意程序早在2000年就已经开始采
Windows注册表高级设置详解:反病毒教程基础篇第4课
"反病毒教程(基础篇)第4课" 本教程主要讲解了与计算机安全相关的反病毒知识,特别是通过修改注册表来增强系统安全性和调整用户界面设置的方法。在第2课中提到了如何利用注册表隐藏文件,具体操作是在`HKEY_CURRENT_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值