静态分析基础技术

已于 2024-09-11 12:45:56 修改
阅读量448 收藏 4
点赞数 5
分类专栏: 二进制分析 文章标签: windows
于 2024-09-08 22:47:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29647709/article/details/142033898
版权

实验一 Lab01-01.exe和Lab01-01.dll分析

这个实验使用Lab01-01.exe和Lab01-01.d文件,使用本章描述的工具和技术来获取关于这些文件的信息。

问题:

  1. 将文件上传至 http:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
  2. 这些文件是什么时候编译的?
  3. 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
  4. 是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
  5. 是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
  6. 是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
  7. 你猜这些文件的目的是什么?

解答:

将文件上传至 http:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
58/71报毒在这里插入图片描述

这些文件是什么时候编译的?
PETools.exe
显示是2010年12与月19在这里插入图片描述

这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
没有加壳,使用PEiD.exe工具如果能看出是什么编译器编译的,则未加壳,如果看不出或者显示加壳程序则证明加壳
在这里插入图片描述

是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
使用PEiD.exe可以看到对应导出表和函数
在这里插入图片描述
是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?

运行 strings Lab01-01.exe发现伪造的Kernel32.dll程序
在这里插入图片描述

是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
运行strings Lab01-01.dll,发现联网的恶意ip
在这里插入图片描述
你猜这些文件的目的是什么?
后门程序,通过exe程序调用dll,dll文件具有联网和执行命令操作.

实验二 分析Lab01-02.exe文件

问题:
1.将 Lab01-02.exe 文件上传至 hip:/hwww.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
4.哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?

解答:
将 Lab01-02.exe 文件上传至 hip:/hwww.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
58/72报毒
在这里插入图片描述
是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
使用peid工具发现是upx加壳
在这里插入图片描述
在这里插入图片描述
使用FUPX工具选择解压缩
在这里插入图片描述
再次使用peid工具发现upx壳被清除
在这里插入图片描述
有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
会发现导入函数CreateService、InternetOpen、InternetOpenUrl
大概猜测其可能创建服务并且进行网络连接
在这里插入图片描述
在这里插入图片描述
哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?
运行strings Lab01-02 - Copy.exe发现
在这里插入图片描述
一个名为Malservice的服务,并疑似连接到http://www.malwareanalysisbook.com的网络流量

实验三 分析Lab01-03.exe文件

问题:

  1. 将 Lab01-03.exe 文件上传至 htp:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有
    的反病毒软件特征吗?
  2. 是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,
    请进行脱壳,如果可能的话。
  3. 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
  4. 有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?

解答:
将 Lab01-03.exe 文件上传至 htp:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有
的反病毒软件特征吗?
68/73报毒
在这里插入图片描述
是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,
请进行脱壳,如果可能的话。
使用PEID查壳发现这是FSG加壳的文件
在这里插入图片描述
使用linxerUnpacker.exe通过脱壳工具进行脱壳
在这里插入图片描述
有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
程序使用com组件
OleInitialize初始化
CocreateInstance创建com实例
在这里插入图片描述
有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
使用Strings工具发现其访问的网址
在这里插入图片描述

实验四 分析Lab01-04.exe文件

问题:

1.将 Lab01-04.exe 文件上传至 http:/hwww.VirusTolal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
3.这个文件是什么时候被编译的?
4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
6.这个文件在资源段中包含一个资源。使用Resource Hacker 工具来检查资源,然后抽取资源。从6资源中你能发现什么吗?

解答:
将 Lab01-04.exe 文件上传至 http:/hwww.VirusTolal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
66/73报毒
在这里插入图片描述

是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
正确显示出编译器没有被加壳

在这里插入图片描述
这个文件是什么时候被编译的?
使用PEviewPatched.exe查看IMAGE_FILE_HEADER部分时间戳字段
在这里插入图片描述
有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
winExec执行命令
在这里插入图片描述
提权相关函数
在这里插入图片描述
有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
使用Strings工具发现访问下载对应工具并重命名
在这里插入图片描述
这个文件在资源段中包含一个资源。使用Resource Hacker 工具来检查资源,然后抽取资源。从6资源中你能发现什么吗?

使用Resource Hacker提取对应资源并保存
在这里插入图片描述
对导出文件按进行分析发现其执行命令和获取系统目录
在这里插入图片描述
远程下载
在这里插入图片描述

恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3695
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码字符串,从中查看有用的线索,加过壳的恶意代码字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析入门--静态分析(chapter1_Lab01-01
最新发布
书山有路勤为径,学海无涯苦作舟
11-18 1158
由于dll文件是不能够直接自己来运行的,所以,必须借助exe的外力在后台运行。先看Lab01-01.exe 可以知道并且推测,由于数字1和字母l 在windows中长得太像了,所以可以推测这个程序将Lab-01-01.dll文件改名成了Kerne123.dll文件,实现伪装隐藏。去查询ip.cn发现这是一个内网地址,可见病毒作者处于教学的目的,只随便写了一个内网地址,如果他是一个公网地址,那就很有可能在后台访问这个ip进行一些危险操作。的时间戳,表明了程序是什么时间编译的。如果是,是哪些导入函数?
新手的恶意代码分析记录(一)_Lab01-01
qq_42689353的博客
08-18 1677
一、基本信息 样本基本信息: 样本名称:Lab01-01.dll 样本大小:163840 bytes MD5:290934C61DE9176AD682FFDD65F0A669 样本名称:Lab01-01.exe 样本大小:16384 bytes MD5:5A016FACBCB77E2009A01EA5C67B39AF209C3FCB 使用cff_Explorer 查看样本基本信息 使用查壳工具die查看,可以看出来,两个程序并没有加壳,并且是使用VC6.0编写的。 查看 Lab01-01.dll 程
lab-01
03-29
实验01
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1566
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
静态分析基础技术实验感想
06-01
作为一个AI语言模型,我没有实际参与静态分析的实验,因此无法给出实验感想。但是,从理论上来说,静态分析是一种非常有用的技术,可以帮助开发...因此,学习和掌握静态分析基础技术对于软件开发人员来说非常重要。
parasoft cpptest静态分析规则(中文版)
09-25
静态分析工具如CPpTest不仅可以帮助开发者遵循这些编码规范,还可以进行质量度量,包括代码复杂度分析、潜在缺陷分析和风格一致性检查等。静态分析能够在不运行代码的情况下,通过分析源代码来识别代码中的逻辑错误...
时序分析之1静态分析基础
04-27
通过深入学习“时序分析之1静态分析基础”,我们可以掌握如何运用静态分析技术来改进程序的时序特性,从而提升软件的性能和可靠性。这包括理解和使用各种静态分析工具,以及如何解读和解决分析结果中的问题。对于...
时序分析之1静态分析基础.zip-综合文档
05-19
本综合文档主要围绕“时序分析之1静态分析基础”展开,旨在为读者提供一个全面的理论与实践结合的理解框架。 时序分析是一种用于理解和预测系统行为的技术,尤其是在复杂并发环境中。它关注的是系统中的事件发生...
综合电子信息系统软件静态分析技术的应用.pdf
08-24
针对这些挑战,静态分析技术作为一种不运行代码即可发现软件潜在错误和缺陷的分析方法,具有十分重要的应用价值。 静态分析技术通过全面检查源代码,能够覆盖所有可能的执行路径,从而有效地识别出软件中的问题。这...
lab01 lab01lab01
11-21
lab01shiaaschdkjashd 9sadkjhasdkjh akjsdhasd
恶意代码分析与实践lab1
qq_74420726的博客
09-23 1908
恶意代码分析与实战》第一章的课后作业
恶意代码分析实战_01静态分析基础知识_实验
kitsch0x97的博客
04-30 726
在这个实验使用Lab01-01.exeLab01-01.dll,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用文件从下载。
恶意代码分析 | Lab1
ULGANOY的博客
09-04 575
Practical Malware Analysis Labs | Lab1 记录
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1396
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1823
Lab01-01.exeLab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1250
Lab 1-1 对Lab01-01.exeLab01-01.dll进行分析 问题 1.文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 1993
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8667
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值