恶意代码分析实战Lab01-03,lab01-04

最新推荐文章于 2025-10-18 20:49:30 发布
原创 最新推荐文章于 2025-10-18 20:49:30 发布 · 2.5k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入分析了lab01-03.exe和lab01-04.exe两个恶意代码样本,揭示了其潜在威胁及感染机制。通过对VirusTotal的检测结果、加壳情况、编译时间、导入函数等关键信息的解析,指出了恶意代码可能执行的操作,包括权限提升、文件写入及执行、网络下载等。同时,通过资源节分析,发现了内置的下载器程序。

分析lab01-03.exe,lab01-04.exe
先来看lab01-03.exe
Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
将文件上传到virustotal后
在这里插入图片描述
A1:可以看到报警率为64/73
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
将实验文件载入peid
在这里插入图片描述
可以看到是被加壳的,加壳器为FSG
进一步查看其导入表
在这里插入图片描述
只有两个函数LoadLibrary,和GetProcAddress,加壳文件往往只有这两个导入函数。
A2这个文件是加壳的,但我们在这个时候还无法进行脱壳

Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
A3,A4: 在没有脱壳的情况下还无法回答。我们将在后面的课程中学到如何手动脱壳

接着分析lab01-04.exe
Q1.将Lab01-04.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
Q3.这个文件是什么时候被编译的?
Q4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
Q6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
依次分析
Q1.将Lab01-04.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告
在virustotal上传实验文件
在这里插入图片描述
检测结果如下
在这里插入图片描述
A1:可以看到报警率为59/72

Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
载入peview
在这里插入图片描述
A2:没有加壳或混淆的迹象
Q3.这个文件是什么时候被编译的?
将文件载入studype+
在这里插入图片描述
A3: 3.根据文件头,这个文件是在2019年8月31编译的。而这本书的成书时间在2019之前,显然,这个编译时间是伪造的,因此我们还不能确定这个文件到底是什么时候被编译的。

Q4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
载入peid,查看导入表
在这里插入图片描述
从advapi32.dll导入函数可以看到,程序做了一些与权限有关的事情,比如是在访问使用了特殊权限保护的文件。
在这里插入图片描述
从kernel32.dll导入函数可以这个程序会对资源节进行操作(LoadResource、FileResource、SizeofResource),从资源节中加载数据,写一个文件到磁盘上(CreateFile,WriteFile),执行磁盘上的文件(WinExec),GetWindowsDirectory的调用,我们可以猜测这是将文件写到系统目录
A4:从advapi32.dll 导入的函数,表明程序在做一 些与权限有关的事情。导入函数WinExec 和WriteFile,以及VirusTotal.com 的结果,告诉我们这个程序会写一个文件到磁盘上,然后执行它。导入函数还有一些是用于从文件的资源节中读取信息的

Q5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
使用strings查看字符串
用法很简单
strings 文件名
在这里插入图片描述在这里插入图片描述

A5:字符串\system32\wupdmgr.exe表示,结合GetWindowsDirectory函数,可以推测,恶意代码会在C:\windows\system32\wupdmgr.exe这个位置创建或者修改文件。字符串www. malwareanalysisbook. com/ updater . exe可能是保存下载恶意代码位置。
Q6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
使用resource hacker载入
在这里插入图片描述
可以看到资源节里存储着另一个可执行文件,我们可以将其另存为一个可执行文件,操作如下
在这里插入图片描述在这里插入图片描述

此时载入peview载入lab1-4.exe进行分析
在这里插入图片描述
查看其导入表可以知道,调用URLDownloadToFile,这个函数常见于恶意下载器,用于网络操作;还调用了WinExec,可能会执行下载过来的文件。
A6:资源节中包含了另一个PE可执行文件。使用ResourceHacker可以将这个资源保存为二进制数据,然后使用分析-一个可执行文件的方法来分析这个二进制文件。在资源节中的可执行文件是-一个下载器程序,用来下载额外的恶意代码。

恶意代码分析实战Lab0304
ACdream
02-04 760
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 942
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
恶意代码分析实战Lab01——0304
4SecNet团队专栏
12-21 955
第一步:查看文件是否加壳: 加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中: 第步:将程序,用IDA打开进行详细分析: 第三步:分析main函数; 可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了: 嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...
网络攻防技术:恶意代码
spinage的博客
10-18 1234
恶意代码的演变与防御策略 恶意代码已成为网络安全的主要威胁,其发展经历了从早期实验性病毒到现代高度组织化、商业化的演变。主要类型包括病毒、木马、蠕虫和Rootkit,各自具有不同的传播方式和破坏性。恶意代码攻击遵循入侵、隐蔽、潜伏、破坏和传播的系统化模型。为应对威胁,防御技术包括基于特征的扫描、校验和行为分析等方法。随着恶意代码技术不断进化,防御策略也需要持续更新。
恶意代码分析实战 Lab 1-3 习题笔记
isinstance的博客
08-28 1480
Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答: 略2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。解答: 这个还是要用老方法看看这里没显示C++或者C什么的,虽然结果也没显示常见的UPX壳,但是无疑这个加壳了的,壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数,可以
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 782
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加壳操作 利用ollybdg进行手动脱壳 在尝试了一番之后,我发现这个脱完壳后还得进行修复,就搁置在这里。
Lab 1-3
bangren3304的博客
01-07 265
Lab 1-3 Analyze the file Lab01-03.exe. Questions and Short Answers Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions? A: As of this wri...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 2133
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战lab3-1
weixin_51588494的博客
04-26 310
答:通过dependency walker 这个工具,只发现了一个导入库,估计是被加壳了。使用动态分析基础技术来分析Lab03-01.exe文件中发现的恶意代码。3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?通过进程浏览器和注册表比较,会有注册key值的加入。2.这个恶意代码在主机上的感染迹象特征是什么?1.找出这个恶意代码的导入函数与字符串列表?遍历exe文件的字符串,其中有域名信息。
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 352
恶意代码实战详细分析
lab01 lab01lab01
11-21
lab01shiaaschdkjashd 9sadkjhasdkjh akjsdhasd
Lab 1-4
bangren3304的博客
01-07 288
Analyze the file Lab01-04.exe. Questions and Short Answers Upload the Lab01-04.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions? A: As of this writing, 16...
恶意代码分析实战实验Lab1的1~4题
weixin_42877778的博客
11-05 1076
因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。 实验下载 访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给出具体下载方式链接:下载点击步骤 最终也是转到GitHub中下载:GitHub下载链接 第一章实验 Lab1-1 (1)将恶意代码上传到一个网页并分析查看报告。 .
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 3294
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 2042
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战Lab1——03 补:FSG脱壳
4SecNet团队专栏
12-21 715
前边在做Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程: 0x01查壳信息 0x02开始脱壳 载入OD 按 Alt+M 在Text段下断点: F9运行: 听下来之后Alt+F9返回到用户代码: 接着F4 运行到大跳转处: F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,...
3.0-LAB1-C1 实验
agonilw的博客
10-21 1296
1、层配置 2、IGP配置 3、MPLS-v-pn跨域配置 4、HA部分 5、QOS部分 6、IPV6部分
LAB1-3 Kernel
qq_39622197的博客
09-04 166
LAB1-3--Kernel格式化打印控制台exercise1.81.8.0 八进制格式1.8.1 printf.c与console.c接口堆栈exercise1.91.9.0 格式化打印控制台 exercise1.8 1.8.0 八进制格式 在操作系统内核中,我们需要实现自己的IO。系统IO主要包括3个文件实现,kern/printf.c, lib/printfmt.c, 以及 kern/console.c。这三个文件属于递进关系,依次对后面的函数进行封装。 八进制格式代码: num = getu
你应该了解Lab03-03.exe这个经典的恶意代码样本吧
最新发布
10-21
<think>嗯,用户想了解Lab03-03.exe这个经典恶意代码样本的信息。先回顾一下用户提供的资料和引用内容。 用户提供了两份参考资料。引用[1]提到这个样本会把自身复制到系统目录并改名,还会修改注册表实现自启动,以及连接特定网站。引用[2]则展示了动态分析过程,发现它会通过svchost进程记录键盘输入到日志文件。 用户之前问过Lab03-01.exe,现在转向Lab03-03.exe,说明ta在系统学习《恶意代码分析实战》的系列实验。这类用户通常是安全分析学习者或从业者,需要全面但清晰的样本剖析。 考虑整理几个核心模块来回答: 恶意行为方面要突出两点:持久化机制(文件复制+注册表修改)和键盘记录功能(隐蔽的日志记录方式)。技术特点要强调模块化设计(分离恶意模块与合法进程)和反分析技巧(动态加载代码)。分析难点在于它如何利用svchost进程实现隐蔽监控。 准备在回答中详细说明它的键盘记录技术原理——通过注入svchost进程来绕过检测,记录内容会明文存储。还要提醒防护建议,比如注册表监控和进程行为分析这类检测方法。 相关内容部分想到三个方向:同系列样本分析、键盘记录恶意代码的演变、检测对抗技术的发展。这样既延续实验脉络,又拓展知识维度。 结尾会给出实用分析技巧,比如在虚拟机里操作时要注意它的抗调试特性,网络分析要结合域名访问行为等。这些细对实际操作应该很有帮助。 </think>以下是关于Lab03-03.exe恶意代码样本的全面分析(基于《恶意代码分析实战》经典实验): --- ### **一、核心恶意行为分析** 1. **持久化机制** - 将自身复制到 `C:\WINDOWS\system32\vmx32to64.exe` - 通过修改注册表实现自启动(常见位置如 `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`)确保每次开机执行[^1] 2. **键盘记录功能** - 注入系统进程 `svchost.exe` 实现隐蔽监控 - 记录用户键盘输入并明文保存到同级目录下的 `practicalmalwareanalysis.log` 文件[^2] - 验证方法:动态分析中打开记事本输入内容,日志文件实时更新(如下图): ``` 202X-XX-XX [svchost(3712)]: Hello! This is a test... ``` 3. **网络通信行为** - 主动连接 `www.practicalmalwareanalysis.com` - 目的可能为:下载额外恶意模块 / 上传窃取数据 / 接收C2指令[^1] --- ### **、技术特点与反分析手段** | 技术类别 | 具体实现 | 检测规避效果 | |-----------------|----------------------------------|---------------------------| | **进程注入** | 将恶意代码注入svchost.exe | 伪装为系统进程逃避基础检测 | | **日志存储** | 明文记录+本地存储 | 绕过网络流量监控 | | **域名硬编码** | 直接访问特定域名 | 避免IP黑名单但易暴露特征 | | **无加密通信** | HTTP明文传输 | 增加网络分析可追溯性 | --- ### **三、分析实验关键结论** 1. **静态分析价值** - 导入函数显示文件操作(`CreateFile`, `WriteFile`)和注册表修改(`RegSetValueEx`) - 字符串列表直接暴露C2域名和日志文件名[^1] 2. **动态分析技巧** - 需监控孤儿进程(如无父进程的svchost)的行为 - 文件系统监控可发现日志创建事件 - 网络抓包验证域名连接行为[^2] --- ### **四、防护与检测建议** ```python # 伪代码:检测类似恶意行为 def detect_malware(process): if process.name == "svchost.exe" and process.has_behavior("key_logging") and process.connects_to("practicalmalwareanalysis.com"): return "Lab03-03类似恶意代码" # 补充:检查注册表自启动项异常路径 if registry_key_contains("HKCU\\Run", "vmx32to64.exe"): return "检测到持久化后门" ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值