恶意代码--逆向分析基础入门

最新推荐文章于 2024-04-12 21:05:16 发布
置顶 最新推荐文章于 2024-04-12 21:05:16 发布
阅读量2.4k 收藏 7
点赞数 2
分类专栏: 二进制 恶意代码 逆向工程 网络安全与恶意代码 文章标签: 恶意软件 病毒 蠕虫 测试 备份
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microzone/article/details/52038380
版权

0x001


前期基础知识储备


1 恶意行为特征,病毒,蠕虫,木马的认识了解。

2 相应工具的操作基础学习。


0x002


系统环境

vmware12

win7 x64


0x003


工具清单

tcpview
pchunter
wireshark
process monitor
sublime
editplus
hash
depends


0x004

逆向流程


1 具体测试程序样本test.exe

File: C:\Users\ROOT\Desktop\TEMP\test.exe
Size: 84480 bytes
Modified: Wednesday, July 13, 2016, 8:26:25 PM
MD5: 9CB934CA6A22E5716217AB9F0A27B344
SHA1: CF9A12598D4C63FC36665B163810052F9FFE8CDD
CRC32: 3379D8C8




2 先快照备份系统

process monitor打开  规则设置为监控test.exe程序的行为特征。

    1  进程线程行为

    2  文件访问行为

    3  注册表访问行为

    4  网络行为行为

    5  线性事件活动行为



3 pchunter打开




4 wireshark打开



5 tcpview打开





0x005


然后双击程序,捕获行为。











0x006


整理结果如下(记录行为有以下几种


1  该样本程序进行了多方式开机启动。


2  该样本程序没有进行网络通信建立连接。


3  该程序进行了自删除操作,实现隐藏自己。


4  该程序没有释放任何别的dll子文件。


5 二进制对比和hash校验,没有发现有自身文件变化。


6 注册表创建,修改,删除多项操作。


7 复制自身到开始启动文件夹。



5t4rk
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2023年04月 《恶意代码分析和逆向基础》之静态分析
时光隧道
04-25 8583
恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式,而不被用户或安全机制所察觉,以达到攻击目的。逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息,来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。静态分析是一种通过分析程序代码或二进制文件的方式来了解其内部结构和运行方式的方法。
金盾2016-2017逆向分析系列教程
07-23
教程名称:金盾2016-2017逆向分析系列教程  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
恶意程序分析与检测方法.pptx
06-10
恶意程序分析与检测方法.pptx
逆向分析-010Editor代码
12-04
逆向分析-010Editor代码
IDEA mybatis-generator逆向工程生成代码
08-27
主要介绍了IDEA mybatis-generator逆向工程生成代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【愚公系列】2023年04月 《恶意代码分析和逆向基础》之动态分析
时光隧道
04-22 8757
恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式,而不被用户或安全机制所察觉,以达到攻击目的。逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息,来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。动态分析是指在运行时/runtime对程序执行的代码进行跟踪、监测和分析的过程。
恶意代码逆向静态分析之键盘记录(键盘钩子)以及代码实现 有手就行
weixin_50847719的博客
10-18 381
在这里插入图片描述
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8258
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1347
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2448
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
mybatis-plus快速逆向生成代码
03-07
0.解压后查看说明文档。 1.pom.xml中增加对应引入包 2.复制FastAutoGeneratorTest.java到自己的项目中 然后更改引入包路径 3.更改数据库源 4.更改生成代码路径 5.执行main方法
Cortex-M_逆向分析与安全.pdf
08-11
逆向的意义 逆向的困难 逆向技巧 堆栈溢出示例 嵌入式系统的防护
这些年我读过的技术经典图书(附电子版下载地址)
shitao827194819的专栏
11-07 2292
本人大学期间专业是数学与应用数学, 2009年毕业, 学习不怎么样. 毕业后才开始接触计算机, 做过C开发, 系统运维和测试, 这4年我读了很多书, 电子书和纸质的, 这些书中有很多很经典的图书和资料, 现在拿来和大家分享一下. 每个资料都有下载衔接,大家可以直接下载, 都是免费的. C技术资料 1.> 作者: 谭浩强 这是我推荐的第一本书, 也是我接触的第一本书, 为什么把它
超全的网络安全精编自学资料合集(64份)_网络安学习资料下载
最新发布
m0_60388216的博客
04-12 415
Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shellWindows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权恶意样本分析及HGZ木马控制目标服务器DNS欺骗和钓鱼网站原理详解及漏洞还原微软证书漏洞CVE-2020-0601(上)Windows验证机制及可执行文件签名复现Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令。
逆向工程第一本书--恶意代码分析实战--day1
zyer
01-24 446
一.初识windows静态分析 1.常见DLL程序 Kernel32.dll 这是一个很常见的DLL,它包含核心系统功能,如访问和操作内存,文件和硬件等等 Advapi32.dll 这个DLL提供了对核心Windows组件的访问,比如服务管理器和注册表 User32.dll 这个DLL中包含了所有用户界面组件,如按钮,滚动条以及控制和响应用户操作的组件 Gdi32.d
恶意软件分析实战05-逆向分析Lab011-01.exe
輚至消亡
09-14 461
首先查壳, 发现没有加壳。这个程序是用VC++6.0编写。 把样本拖入VT内查看, 发现47个杀毒引擎认为其有问题。 仔细查看一下报告, 附带有资源节 看一下它内部有的函数, 资源节肯定有问题。 继续查看VT报告, 发现其是一个名为msgina32.dll。初步考虑是利用了Winlogon服务,对GINA进行劫持。 注册表设了GinaDLL键验证了我的猜想。至少非常大的可能。 不管如何先用Resource Hacker把这个DLL拿出来再说。 首先把恶意软...
恶意软件分析实战07-逆向分析Lab014-01.exe
輚至消亡
09-19 197
拖入PEID查壳, 发现没有壳。 用KANAL扫一扫,发现里面可能Base64算法。因为查找到了对应表, 这里先记下: 拖入VT内查看, 有问题: 查看详细报告里面导入函数信息, 最特殊的莫过于这几个了, 上面那两个主要用于获取系统以及用户信息,下面用于下载。 拖入IDA分析, 上来首先调用了GetCurrentHwProfileA来获取当前系统的GUID,并获取其中部分拼搭起来。 可以看到其拼搭成这样: 接着调用了GetUserNameA获取了当前用户的名称,使用...
恶意软件分析实战03-一个后门的逆向分析
輚至消亡
07-20 666
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
免费共享给大家一些免费的代理服务器(包括sock http https)
热门推荐
关注互联网安全的小虾米一枚
11-09 3万+
Last update IP address                 Port Country                    Type               Anonymity 54 secs        116.228.55.217        8000 flag China             HTTP              High +KA
cve-2020-0796漏洞逆向分析
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909之间的SMBv3协议中,攻击者可以利用此漏洞执行远程代码,从而控制受感染的系统。 对CVE-2020-0796漏洞进行逆向分析是为了深入了解其工作原理及漏洞利用的具体细节。逆向分析通常包括静态和动态分析两个方面。 首先,静态分析是通过对漏洞程序的反汇编、分析源代码或查看二进制文件等方法来了解漏洞的工作原理。这可以帮助研究人员识别漏洞的关键功能、漏洞的出现位置以及可能的漏洞利用方式。 其次,动态分析是在虚拟化环境中或实际受感染的系统上运行漏洞程序,监视其行为并捕获关键信息。通过动态分析,研究人员能够观察到漏洞利用的具体过程,从而理解攻击者是如何利用漏洞来执行远程代码或获取系统权限的。 在逆向分析过程中,研究人员需要使用一些特定的工具,如反汇编器、调试器以及网络分析工具等。这些工具可以帮助研究人员获取漏洞程序的内部结构、系统调用、网络通信等关键信息,有助于理解漏洞的利用方式和脆弱点。 通过逆向分析CVE-2020-0796漏洞,能够帮助安全专业人员更好地理解漏洞的工作原理,从而开发相应的补丁或安全措施以防止攻击者利用该漏洞入侵系统。此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值