恶意代码检测
关注
分享
扫一扫
网安幕后推手
这个作者很懒,什么都没留下…
展开
-
恶意代码分析实战—实验12-3
实验环境实验设备环境:windows xp实验工具:IDAPro实验过程首先我们采用IDA导入文件,查看imports窗口:其调用了系统设置钩子函数,这个函数允许进程挂钩,也允许监控进程的API函数。回到反汇编窗口,反汇编窗口中来到SetWindowsHookExA函数周围,其idhook参数表明此钩子是哪一种钩子,查看MSDN可以获知D用来监控键盘消息,lpfn是hook地址,fn启动了键盘监控,fn函数会接收击键记录。接下来调用了getmessageA函数,此函数一定要调用,因为wind原创 2020-09-07 14:42:00 · 259 阅读 · 0 评论 -
恶意代码分析实战—实验12-2
实验环境实验环境:windows xp实验工具:IDAPro WinHex Resource Hacker实验过程首先采用IDA加载实验文件Lab12-02.exe文件,查看导入函数窗口(imports):可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文;还存在对内存读写操作的API函数;对资源也会有操作。点击createProcess函数进入被调用的界面:圈出来的参数为4,代表此进程被创建但是不被执行,除非主进程调用这个函数的时候才会被启动。原创 2020-09-07 14:13:16 · 644 阅读 · 0 评论 -
恶意代码分析实战—实验12-1
实验环境:实验设备环境:windows xp实验工具:IDAPro,processmonitor,processexplore实验过程首先我们采用IDA打开exe程序,进入imports导入函数窗口:以上圈出的函数很有可能会是有关于进程注入。在IDA中查看strings窗口:我们会观察到很多不常见的dll文件,可能会和注入有关。1、在你运行恶意代码可执行文件时,会发生什么?我们会看到会弹出来一个窗口,其会一分钟弹出来一次。2、哪个进程会被注入?查看IDA:可以看到其会调用Lo原创 2020-09-03 20:08:31 · 543 阅读 · 0 评论 -
恶意代码分析实战—实验11-3
实验环境:实验设备环境:windows xp实验工具:UltraCompare,IDAPro,Ollydbg,WinMD5,strings,processmonitor实验过程1、使用基础的静态分析过程,那你可以发现什么有趣的线索?我们可以使用strings查看目标程序:...原创 2020-09-03 09:11:02 · 645 阅读 · 1 评论 -
恶意代码分析实战—实验11-2
实验环境:实验设备环境:windows xp实验工具:PEID,IDAPro,Ollydbg,wireshark,WinMD5,strings,processmonitor实验过程首先我们可以使用strings查看:这就说明恶意程序会利用appinit以及注册表永久的安装自身。并且向上分析可以发现,恶意程序可能会对邮件进行一些操作,并且会涉及到网络操作。1、这个恶意的DLL导出了什么?可以使用dependency walker查看:其存在一个导出函数导入的kernel32.dll文件原创 2020-09-02 16:22:49 · 504 阅读 · 0 评论 -
内联钩子原理
左侧是一个正常情况下的send函数的调用,右侧是使用了内联钩子以后的调用情况。对比可以发现右侧的开始会调用jmp函数,jmp指定会跳转到恶意代码的位置执行,恶意代码执行之后会继续执行send函数,最后再用jmp执行跳回去,这样就可以完整执行send函数的功能并且不会被发现。...原创 2020-09-02 15:42:06 · 469 阅读 · 0 评论 -
恶意代码分析实战—实验9-2
实验环境:实验设备环境:windows xp实验工具:PEID,IDAPro,Ollydbg实验过程1、Lab09-03.exe导入了哪些dll?我们可以通过查找PEID查看导入函数:但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下:我们点击第一个引用函数进入:发现其引用的是dll3.d原创 2020-09-01 11:50:14 · 644 阅读 · 0 评论 -
恶意代码分析实战—实验9-1
实验环境:实验设备环境:windows xp实验工具:strings,IDAPro,Ollydbg,Process explore实验过程使用strings进行静态分析:我们可以看到此字符串中包含有一些网络连接函数以及创建线程的API函数。接下来我们采用OD结合IDA的方式进行分析:但是由于OD无法准确的定位到main函数开始的位置,所以需要采用IDA确定函数开始执行的位置:在这里我们可以看到main函数的地址为:00402AF0,现在我们可以在OD中跳到这个地址:...原创 2020-09-01 09:56:50 · 506 阅读 · 0 评论 -
恶意代码分析实战—实验7-3
实验环境实验设备环境:windows xp实验工具:strings,IDAPro,Dependency Walker,Process Monitor实验过程首先可以使用strings查看:lab07-03.exe文件:我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。下原创 2020-09-01 09:56:44 · 598 阅读 · 0 评论 -
恶意代码分析实战—实验7-2
实验环境实验设备环境:windows xp实验工具:strings,IDAPro,Dependency Walker实验过程首先我们可以使用Dependency Walker软件查看程序使用了哪些导入函数:我们可以发现此函数会创建一个Co,OleInitialize用于初始化组件文件对象库,OleUninitialize用于关闭组件对象库下面使用IDA进行分析:分析以上主函数,发现其存在rid以及clsid,我们点开rid进入:其圈出来的就是他的实际数据如下:0D30C1661- 0C原创 2020-09-01 09:56:36 · 253 阅读 · 0 评论 -
恶意代码分析实战—实验7-1
实验环境实验设备环境:windows xp实验工具:PEID,IDAPro实验过程首先可以使用PEID来静态分析导入表:上图可以发现此dll函数会调用一些有关于服务的API函数,说明此程序很有可能会创建一些服务,其中的OpenSCManagerAAPI函数的作用是创建一个到指定服务控制管理器的连接,并且开启这个管理器数据库。保证将服务加入到数据库中。winnet.dll文件调用了两个有关于网络的API函数,第一个是访问网络连接的URL,第二个是初始化一个到互联网的连接。下面进行IDA分析:原创 2020-09-01 09:56:29 · 341 阅读 · 0 评论 -
恶意代码分析实战—实验6-4
实验环境实验设备环境:windows xp实验工具:IDAPro,strings实验过程首先进行基础的静态分析如下:我们会发现同之前分析的一样会包含未知网址,网络连接提示字符串以及注册表信息:现在我们开启IDA分析:1、对比之前的main函数,此程序的main函数中调用之间的区别是什么?什么新的代码结构被添加至了main函数中循环结构...原创 2020-09-01 09:56:14 · 227 阅读 · 0 评论 -
恶意代码分析实战—实验6-3
实验环境实验设备环境:windows xp实验工具:PEID,strings,IDApro实验过程首先使用strings进行静态分析如下:我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。下面可以使用PEID查看一下导入表:我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。下面使用IDA进行分析:1、比较在main函数中与原创 2020-09-01 09:56:07 · 245 阅读 · 0 评论 -
恶意代码分析实战—实验6-2
实验环境实验设备环境:windows xp实验工具:IDAPro,PEID,strings,wireshark实验过程使用strings程序进行基础的静态分析:出现了一个恶意程序可能访问的网址,以及一些反应网络连接状态的字符串。现在我们可以使用PEID进行分析,查看其导入表:我们主要关注WINNET.dll程序引用的API。(如果兴趣可以通过MSDN查找相关API作用)下面我们通过wireshark进行动态分析:开启wireshark以后,运行程序:其中存在DNS数据包,解析圈出的原创 2020-09-01 09:56:00 · 193 阅读 · 0 评论 -
恶意代码分析实战—实验6-1
实验环境实验设备环境:windows xp实验工具:IDAPro,strings,PEID实验思路1、采用基础静态分析工具分析目标程序2、利用IDAPro梳理恶意程序的行为实验过程首先我们使用PEID查看一下程序是否加壳:可以观察到exe程序并没有被加壳,查看其导入表发现:其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址):检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。下原创 2020-09-01 09:55:53 · 318 阅读 · 0 评论 -
恶意代码分析实战—实验5-1
实验环境实验设备环境:windows XP实验工具:IDA pro实验思路1、掌握IDA Pro基本使用方法2、利用IDA Pro静态分析恶意程序实验过程1、DLLMain的地址是什么?打开IDAPro将Lab05-01.dll文件拖进来进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息:2、使用imports窗口并浏览到gethostname的调用,导入函数定位到什么地址?可以通过点击imports窗口获得信息,双击这个函数就可以获得原创 2020-09-01 09:55:43 · 1475 阅读 · 1 评论 -
恶意代码分析实战—实验3-4
实验环境实验设备环境:windows XP实验工具:PEID,Strings,process monitor,process explore实验思路1、静态分析恶意程序的基本信息2、监控并分析恶意程序的特征实验过程首先我们先利用静态分析工具PEID进行静态分析:点击子系统之后点击输入表,获得引入的表项如下:我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏原创 2020-09-01 09:55:34 · 381 阅读 · 0 评论 -
恶意代码分析实战—实验3-3
实验环境实验设备环境:windows XP实验检测工具:process monitor ,porcess explore实验思路1、观察恶意程序创建出的进程2、分析正常进程与恶意程序进程的不同3、监控并分析恶意程序的特征实验过程1、当使用process monitor进行监控的时候,你发现了什么?打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下:可以观察到其是一个孤儿进程,即没有原创 2020-09-01 09:55:23 · 500 阅读 · 0 评论 -
恶意代码检测实战-第三章实验二(Lab03-02.dll)
实验环境:实验设备环境:windows XP实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot.实验思路1、静态分析dll中的特征信息2、安装dll中的恶意代码3、监控并分析恶意程序的特征实验过程首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下:我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能原创 2020-09-01 09:55:03 · 836 阅读 · 0 评论