恶意代码分析实战 Lab 3-3 习题笔记

最新推荐文章于 2022-04-13 16:33:31 发布
最新推荐文章于 2022-04-13 16:33:31 发布
阅读量2.9k 收藏 12
点赞数 2
分类专栏: 安全 文章标签: 代码分析 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isinstance/article/details/77853429
版权

Lab 3-3

问题

1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?

解答: 这种没有明确目的的题目,我们先开始

运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe

然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)

会发现Lab03-03.exe创建了一个svchost.exe

然后Lab03-03.exe退出,只留下svchost.exe

而题目的书上解答是

恶意代码执行了对svchost.exe文件的替换

这个的确没想到那么一步

2.你可以找到任何的内存修改的行为吗?

解答: 安装书中的解答方式

我们用Process Explorer点中那个单独出来的svchost.exe

然后在ImageMemory单选按钮之间切换

Image

Memory

会发现这两个明显不一样

然后把Memory中的字符串往下拖会发现

下面

书中提到的practicalmalwareanalysis.log的字符串,还有就是[ENTER][SHIFT]

这都是不会在正常的svchost.exe出现的

正常svchost.exeImage

正常

正常svchost.exeMemory

正常

正常的svchost.exe的都是相同的

然后出现了[ENTER]这些字符串,书中说,这个很可能是个击键记录器

我们随便打开虚拟机界面开一个文本乱敲一下看

然后根据PID来在procmon中创建一个过滤器

过滤器设置

比如这样设置的话

我们就可以发现这个程序一直在不断的CreateFileWriteFile

CW

然后我们找到这个log文件,其实就在可执行程序的同一个目录下

文件

1文件是我为了测试新建的

然后打开这个log文件,就可以看到记录下来的信息了

记键器

注意文中出现的[ENTER]

3.这个恶意代码在主机上的感染迹象特征是什么?

解答: 根据上面的分析,迹象就是创建了一个praticalmalwareanalysis.log文件

4.这个恶意代码的目的是什么?

解答: 根据上面的分析,是个键盘记录器

本文完

isinstance
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 3991
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
PracticalMalwareAnalysisLabs(恶意代码习题
06-06
PracticalMalwareAnalysis-Labs-fanhua为广大恶意代码学习者提供学习的工具以及题库
恶意代码分析实战实验Lab 3-3+Lab 3-4
m0_37442062的博客
05-05 344
Lab 3-3 1.当你使用Process explorer工具进行监视时,你注意到了什么? 每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe 2.你可以找出任何的内存修改行为吗? 工具:process monitor 单击 然后选择image和memory practicalmalwareanalysis.log [SHIFT] [ENTER] [BACKSPACE] BACKSPACE [TAB] [CTRL] [DEL] [CAPS
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1597
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1369
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1786
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战3-1
qq_51459600的博客
09-04 169
恶意代码分析实战3-1 问题1 将Lab3-1.exe文件拖入PEid中,发现该文件是加壳文件 从导入表中可以发现只有一个导入的动态链接库 想要查看详细情况需要用到动态分析的方法 问题2 首先启动wireshark,procmon 为procmon设置过滤器: 启动完成后运行Lab03-01.exe 我们首先分析procmon给出的信息: 由于信息过多,我们对过滤器进行更详细的设置 对函数WriteFile、RegSetValue进行过滤 WriteFile函数将某个文件写在了改目录下面,初步鉴
恶意代码分析实战Lab3——01
sxr__nc的博客
12-23 752
第一步:查壳 显示无壳,但是根据图片信息可以看出,该程序是用汇编语言编写的 第二部步:查看函数信息 导入表只有一个函数:ExitProcess(因为是应用程序,所以不看导出函数) 第三步:IDA查看反汇编结果: 先查看字符串: 找到可以的字符串,查看交叉引用,显示无交叉引用,接下来看反汇编结果: 定位到关键函数,直接跳转过去,反编译失败,修改堆栈失败,采用动态调试的方式进行进一步的分析: ...
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1105
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战课后练习
09-04
恶意代码分析实战的课后资料,如果有兴趣的同学可以下载,然后通过7z解压,
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战实验3-3
qq_43481350的博客
09-01 398
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
恶意代码分析实战实验——Labs-03
草草君
09-08 482
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 2958
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值