恶意代码分析实战 Lab09-01(1)

最新推荐文章于 2023-01-25 18:05:16 发布
最新推荐文章于 2023-01-25 18:05:16 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 逆向 恶意代码分析实战 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/77718993
版权

分析报告:

1.     样本概况

病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。

1.1样本信息

病毒名称:Lab09-01.exe

MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C

SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54

病毒行为:这一篇只写有参数下它的行为

1.2测试环境及工具

测试环境:WinXP

测试工具:IDA 、OD

2.     具体行为分析

2.1主要行为分析

创建了进程cmd.exe

2.2恶意代码分析

(1)     主要流程就是判断参数,根据所带的参数来决定执行哪些操作。

abcd是密码。这个可以根据伪代码分析得出。

分为不带参数、参数-in、参数-re、参数-c、参数-cc四种情况。接下来分别分析这5种情况。

(2)     参数-in

若带的参数是-in,则安装服务。

(3)     参数-re

若带的参数是-re,则卸载服务

(4)     参数-c

若带的参数是-c,则删除自身并设置注册表配置键

(5)     参数-cc

若带的参数是-cc,则打印注册表配置键

(6)     不带参数,此处的分析放在Lab09-01(2)

3.     总结

当涉及到恶意代码的安装、配置以及移除时,需要密码abcd,如果没有密码abcd是不会进行这些操作的。

wangtiankuo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战Lab09补充
ACdream
03-08 395
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
恶意代码分析实战 Lab 9-1 习题笔记
isinstance的博客
11-13 1900
Lab 9-1问题1.如何让这个恶意代码安装自身?解答: 这个既然开始了动态调试的部分,我们就只用OD来进行操作了,因为这个版本的恶意代码都是针对XP的,所以我打算是把OD装到XP那台运行代码的机器上这里我们还是跟这书上的步骤走走,先摸清摸清一下套路我们先打开OllyDbg,我这个是从官网下载的,原版的1.x的东西,然后大概是这样这里稍微说一下这个OllyDbg调整字体的方式如果你用是吾爱破解版的话
恶意代码分析实战 --- 第九章 OllyDbg
abelxu
05-24 846
Lab 9-1 查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。 字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑 主流程分析 1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件 2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令 打开注册表 LS
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 523
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
恶意代码分析实战 17 C++代码分析
农夫果园好好喝的博客
01-25 774
首先,以①处的一个对new操作符的调用开始,这表明它正在创建一个对象。一个对象的引用会在EAX寄存器中返回最终存储在②处的var_8变量和③处的var_4变量中。var_4变量在④处被移到了ECX寄存器中,这预示着它将被作为函数调用的this指针传递进去。指向URL http://www.praticalmalwareanalysis.com/的一个指针,随后被存储在对象的开头位置,紧接着调用了sub_401040函数。
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1402
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战9-1
Yale的博客
05-27 596
本次实验我们将会分析lab09-01.exe。先来看看要求解答的问题 Q1.如何让这个恶意代码安装自身 Q2这个恶意代码的命令行选项是什么 Q3.如何利用ollydbg永久修补这个恶意代码,使其不需要指定的命令行密码 Q4这个恶意代码就有系统的特征是什么 Q5.这个恶意代码通过网络命令执行了哪些不同操作? Q6.这个恶意代码是否有网络特征? 接下来跟着分析流程,我们会依次回答这六个问题。 IDA载入本次实验文件,在main处查看交叉引用,看看是在哪儿调用了main 双击跟入 可以看到是在403945处调
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1403
Lab01-01.exeLab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
lab01 lab01lab01
11-21
lab01shiaaschdkjashd 9sadkjhasdkjh akjsdhasd
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
如何查看被加密的宏代码
wangtiankuo的博客
04-25 4484
使用文本编辑器打开Word文档,找到DPB,修改DPX,保存。 打开文档,无论报任何错误都选则“是”,继续打开文档。 使用Alt+F11打开宏代码,选择Project->Project属性->保护,设置新的密码,保存并关闭文件。 重新打开文件,使用自己设置的新密码便可以查看宏代码了。 ...
使用OD调试服务
wangtiankuo的博客
07-03 4152
使用OD调试服务(服务程序为EXE文件)1.       先注册服务。在\HKEY_LOCAL_MACHINE\SYSTE\CurrentControlSet\services下新建项,在该项下面新建如下值,注意这些值的类型。 Description:服务的描述DisplayName:服务显示的名字ImagePath       服务程序所...
广告去弹窗
wangtiankuo的博客
12-19 3530
参考网址:https://bbs.pediy.com/thread-223105.htm 软件下载网址:http://www.winrar.com.cn/download-55032scp.html 本文前言部分摘自蓝色淡风的文章《一次去除广告弹窗的经历》。 一、前言 逆向一个程序,大致有3种方法。 1.       自上而下分析方法 从程序入口点(OEP)开始分析,模拟程序运行的整个
逆向工程权威指南学习笔记
wangtiankuo的博客
07-05 2931
声明:本文整理自《逆向工程权威指南(上册)》 非常乱,不行整理了。 第三章 RET 将控制权交给调用程序(将控制权交给操作系统) 编译器在字符串常量的尾部添加了00H,原因是为这个字符串常量添加结束标志(即数值为0的单个字节) push offset $SG3803 通过push,把字符串指针推送入栈。 call _printf printf函数结束之后,程序的控制流返回到mai
逆向工程核心原理之DLL注入
wangtiankuo的博客
03-20 1986
DLL注入三种方法:使用LoadLibrary加载某个DLL时,该DLL中的DllMain函数就会被调用执行。1.创建远程线程(CreateRemoteThread)使用InjectDll.exe在notepad.exe中注入Myhack.dll(winxp提权后测试成功)InjectDll.exe源码// InjectDll.cpp : Defines the entry point for t...
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值