恶意代码分析实战3-2

最新推荐文章于 2024-10-21 08:27:42 发布
最新推荐文章于 2024-10-21 08:27:42 发布
阅读量553 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: malware 文章标签: r语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yalecaltech/article/details/120385597

使用动态分析基础技术来分析lab03-02.exe
Q1怎样才能让这个恶意代码自行安装
Q2在安装之后,如何让恶意代码运行起来
Q3怎么能找到这个恶意代码是在哪个进程下运行的
Q4在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息
Q5这个恶意代码在主机上的感染迹象特征是什么
Q6这个恶意代码是否存在一些有用的网络特征码
依次分析

首先静态分析
首先peview载入分析
在这里插入图片描述

分别来看看导入函数导出函数
先看导出函数
在这里插入图片描述

从导出函数servicemain可以知道,这次的文件需要安装成一个服务,从而正常运行
再来看导入函数
在这里插入图片描述

可以看到有服务操作函数如createservice等,有注册表操作函数如regsetvalue等
继续往下看
在这里插入图片描述

还有一些http相关的操作函数
在data中看到一些与注册表相关的字符串
在这里插入图片描述

以及http访问相关字符串
在这里插入图片描述

接着动态分析
Q1怎样才能让这个恶意代码自行安装
之前分析的结果告诉我们需要使用导出函数InstallA将自身注册为服务,我们需要借助rundll32.exe
Rundll32.exe是系统自带的,这里我将本次用到的dll文件放在了c盘根目录下
我们通过regshot进行运行前后的比对
先“提取1”
在这里插入图片描述

运行
在这里插入图片描述

A1.利用rundll32.exe工具,使用命令rundl132.exe Lab03-02. d1l, installA, 运行恶意代码导出的installA函数,便可将恶意代码安装为一个服务。
然后“提取2”
“比较”
会自动打开如下所示
在这里插入图片描述

这里可以看到恶意代码将自身安装为IPRIP服务
继续往下可以看到
在这里插入图片描述

在imagepath处被设置为svchost.exe
在这里插入图片描述

可知,这次的dll文件将会挂在svchost上运行
此外,看到了INA+等信息,这些可能是这个dll执行后独有的特征
在安装为服务之后,可以启动运行它了
Q5这个恶意代码在主机上的感染迹象特征是什么
A5:默认情况下,恶意代码将安装为IPRIP 服务,显示的服务名称为Intranet Network Awareness(INA+),描述为“Depends INA+, Collects and stores network configuration and location information, and notifies applications when this information changes"。它将自身持久地安装在注册表中HKLM\SYSTEM\CurrentControlSet\Services\IPRIP\Parameters\ServiceDll :%CurrentDirectory%\Lab03-02. dll
Q2在安装之后,如何让恶意代码运行起来
A2.要运行恶意代码,使用net命令执行net start IPRIP,便可启动恶意代码安装的服务。

Q3怎么能找到这个恶意代码是在哪个进程下运行的
前面我们看到它安装为IPRIP服务,我们可以使用windows中的net命令启动。在启动之前,我们打开监控工具:process monitor,process explore,wireshark
在这里插入图片描述

来到explorer,因为该软件是dll,所以在process explorer不会直接显示出来,需要如下操作找到它
如图所示操作
在这里插入图片描述

输入dll名字,点击search即可
在这里插入图片描述

在下图中可以看到,这个dll由pid为1024的svchost.exe加载
A3.使用ProcessExplorer来确定哪个进程正在运行服务。由于恶意代码将会运行在一一个系统上的svchost.exe进程中,因此你需要查看每个进程,直到你看到了这个服务名,或者可以使用ProcessExplorer的Find DII功能来搜索Lab03-02.dll。
在这里插入图片描述

Q4在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息
切换到process monitor,这里通过pid来过滤
A4.在procmon工具中,你可以使用在Process Explorer中发现的PID进行过滤。
在这里插入图片描述

结果如下

在这里插入图片描述

Q6这个恶意代码是否存在一些有用的网络特征码
看看wireshark,由于流量很多,直接过滤,看到有执行practicalmalwareanalysis.com的dns请求
在这里插入图片描述

过滤get请求,可以看到会访问malware.com/serve.html,与我们之前静态分析的一致
在这里插入图片描述

而且可以看到其user-agent的前半部分是主机名,后半部分的windows xp 6.11是固定的,这就可以用来作为网络特征
A6.恶意代码申请解析域名practicalmalwareanalysis.com,然后通过80端口连接到这台主机,使用的协议看起来似乎是HTTP协议。它在做一个GET请求serve.html, 使用的用户代理为“主机名 Windows XP 6.11”。

恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1420
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战
博文视点(北京)官方博客
05-28 8047
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1523
Lab3-2 使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。 1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1341
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战课,价值399元-10.5G课程网盘链接提取码下载.txt
最新发布
04-17
春秋学院的恶意代码分析实战课,价值399元。威胁计算机系统安全的领域越来越广泛,其中以恶意代码最为严重。而随着计算机系统安全攻击与防御技术的不断较量,恶意代码的攻击手法、攻击形式也越来越趋于隐秘化、复杂...
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 6615
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 2083
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意样本分析实战——SmokeLoader
weixin_51409218的博客
08-29 534
恶意样本分析实战——SmokeLoader
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1397
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
恶意代码分析实战 Lab16-02
wangtiankuo的博客
08-30 764
知识点: TLS回调 TLS回调被用来在程序入口点执行之前运行代码。若可执行程序的PE头部包含一个.tls段,则可能此程序使用了反调试技术。 分析报告 1. 样本概况 样本名称Lab16-02.exe,编译器为Microsoft Visual C++ v6.0。 1.1样本信息 样本名称:Lab16-02.exe MD5值: E88B0D6398970E74DE1DE457B971
恶意代码分析实战实验——Labs-15
草草君
04-21 467
恶意代码分析实战实验——Labs-15 记录《恶意代码分析实战》中的实验,相关链接: 电子书的下载 标题《恶意代码分析实战实验——Labs-15Labs-15-01实验静态分析:IDA分析问题Labs-15-02实验静态分析:IDA分析问题Labs-15-03实验静态分析:IDA分析问题 Labs-15-01实验 Lab15-01.exe 静态分析: 查壳——无壳 查看输入表——MSVCRT.dll Strings分析——出现比较有意思的字符串 IDA分析 在main函数中发现xor
恶意代码分析实战实验——Labs-14
草草君
04-21 796
恶意代码分析实战实验——Labs-14 记录《恶意代码分析实战》中的实验,相关链接: 电子书的下载 标题《恶意代码分析实战实验——Labs-14Labs-14-01实验静态分析:IDA分析动态分析搭建HTTP服务进行动态分析问题Labs-14-02实验静态分析:IDA分析动态分析问题Labs-14-03实验静态分析:IDA分析问题 Labs-14-01实验 样本:Lab14-01.exe 静态分析: 查壳——无壳 查看输入表—— Kernel32.dll:睡眠,创建终止进程,加载库文件等函数
恶意代码分析实战lab5
qq_74420726的博客
10-21 943
实验目的 (1)完成教材上lab5的题目; (2)在样本分析结果的基础上,编写样本的Yara检测规则。 (3)尝试编写IDA Python脚本来辅助样本分析实验原理 IDA Python 是 IDA Pro 的强大脚本接口,它允许我们通过 Python 语言与 IDA 的各种分析功能进行交互。IDA Python 提供了丰富的 API 和库来辅助逆向工程和二进制分析。以下是一些常用的 IDA Python 特有函数和库: 1. idc 模块 idc 模块包含了 IDA 中很多通用的低层次函数,例如操作字
恶意代码分析实战Lab1201
ACdream
05-22 297
分析exe:先看看psapi.dll这个是不是系统dll:系统进程状态支持模块这里可能是对explorer.exe的监听动态运行:每割一段时间会弹框在dll中发现:每隔一分钟会弹框一次用procexp分析explorer.exe,发现是个DLL注入RESTART这个进程一下,就可以注入的dll删掉了直接重启电脑也行说明这个恶意程序是个一次性的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值