恶意代码分析实战 lab1-4

最新推荐文章于 2024-03-24 11:31:30 发布
原创 最新推荐文章于 2024-03-24 11:31:30 发布 · 645 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用petools、peid和ResourceHacker等工具分析PE文件的编译时间、导入函数及资源信息,揭示文件的功能和潜在威胁。

 

q3:文件是什么时候编译的

载入petools

文夹头-》时间、日期标志

可以看到时间。

 

Q4:

有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么

peid载入

可以看到一些dll

比如advapi32.dll

最低0.47元/天 解锁文章
恶意代码分析实战lab1-4
weixin_51588494的博客
03-25 599
并放入dependency walker中查看其导入函数,有一个很特殊的urldownloadtofile,从网上下载文件。其中OpenProcessToken函数,可以核验程序是否有执行权限,用于权限审计和安全检查,不同api之间的调剂,对于恶意代码来说是比较重要的获取权限的函数。通过对函数分析以及云沙箱的报告,该恶意程序功能大概是,访问修改注册表,修改用户权限,并联网访问特定的URL。没有看见什么,就是在字符串中可以看到的明文,还有注意到就是,在其运行的时候会有一个特定的exe文件进行运行。
恶意代码分析实战实验Lab11~4
weixin_42877778的博客
11-05 1077
因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。 实验下载 访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给具体下载方式链接:下载点击步骤 最终也是转到GitHub中下载:GitHub下载链接 第一章实验 Lab1-11)将恶意代码上传到一个网页并分析查看报告。 .
恶意代码静态分析
qq_41821067的博客
02-23 1168
目录strings 的使用列可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 现一个网址 www.ip.cn用
恶意代码分析实战 第十四章课后实验
Stronger_99的博客
04-24 778
问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: 发现一个HTTP的GET请求,可以看到字符串user-Agent并不是硬编码的。 问题2: 使用ida打开文件Lab14-01.exe,看到函数URLDownloadToCacheFileA,这个函数的作用...
恶意代码分析实战(开坑) LAB1[含实验链接]
Peanuts
04-01 2093
恶意代码分析实战-实验 lab1-1 网站报告分析 上传分析www.virustotal.com pe工具使用分析时间 使用petools工具查看 查壳分析 利用PEID工具查看 调用的函数分析 lab1.exe调用了FindFirstFile``FindNextFile``CopyFile 很有可能病毒在搜索并且尝试复制文件。 查看dll文件,此处调用了CreateProcess``S...
恶意代码分析实战lab1-3
最新发布
weixin_51588494的博客
03-24 348
答:我没有从程序导入函数分析恶意代码功能是什么。但在沙箱的动态调试,抓包中发现其访问了许多域名,且一些域名在国外。同时,其程序大小特别小只有5kb,字符串等检验工具都无法扫描信息。如果是这样,这些迹象是什么?如果是,是哪些导入函数,它们会告诉你什。4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?在网上找到了集成脱壳工具,覆盖的面还是挺广的。可以查看,计算机,时候有访问境外以及其他奇怪域名的流量行为。fsg1.0,也是比较基础的加壳,可以使用手动脱壳。
恶意代码分析实战lab1-1
weixin_51588494的博客
03-20 299
答:我觉得是有的,主要有一下几点:导入函数少,字符串扫描来的少,同时其分节的虚拟大小与物理大小不一致。答:我觉得导入函数采取的是一些文件性的操作。这里从字符串中扫描,可以看到其改变了系统库的l变成了1,作为被侵入之后的标准。4.是否有导入函数显示了这个恶意代码是做什么的?5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?2.这些文件是什么时候编译的?7.你猜这些文件的目的是什么?答:我上传的是微步云。
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1591
恶意代码实战分析
恶意代码分析实战Lab1
ACdream
01-25 1259
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战Lab03——2.dll、3.exe
4SecNet团队专栏
12-24 380
第一步:查看基本信息: 第二步:该程序是DLL,看导函数: 可以看,该程序的导函数有很大的参考意义,基本上已经告诉我们每个导函数的作用 , ...
静态分析基础技术
Hvnt3r的博客
03-06 880
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 936
Lab1-4 目录 Lab1-4 2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 3.这个文件是什么时候被编译的?4.有没有任何导入函数能够暗示这个程序功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 985
一、实验内容 1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
恶意代码分析实战第一章习题实验
Amire0x的小乐园
11-03 1347
Lab 01-01Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是什么时候编译的? 使用PEtools打开文件,点击文件头可看到,其他同理。 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 使用PEID打开文件,注意红框内的东西,这里表示该程序
恶意代码分析实战 Lab 1-4 习题笔记
isinstance的博客
08-29 2528
Lab 1-4问题1.将文件上传并查看报告。解答: 我们就传一次看看Basic Properties MD5 625ac05fd47adc3c63700c3b30de79ab SHA-1 9369d80106dd245938996e245340a3c6f17587fe Authentihash e4d9d8ea008b5521c4b4273b8a276cf618db3f8af0bdd2f1
恶意代码分析实战1-1
Yale的博客
05-28 935
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下: 1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.这些文件是什么时候编译的? 3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 4.是否有导入函数显示了这个恶意代码是做什么的?如果是,是哪些导入函数? 5.是否有任何其他文件
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8727
Lab 1-11Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战》配套练习题库解析指南
恶意代码分析实战》是一本专注于恶意代码分析实战性教材,由Michael Sikorski与Andrew Honig合著。本书不仅涵盖了恶意代码的基础知识,还提供了大量实战练习,帮助读者通过实际操作来提高分析技能。恶意代码分析...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值