恶意代码分析实战(7-01实验学习笔记)

最新推荐文章于 2023-01-24 21:05:55 发布
最新推荐文章于 2023-01-24 21:05:55 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 逆向 文章标签: 恶意代码-逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zero1994/article/details/45314981
版权

分析这个代码开始,先查看它的导入表
00404000 CreateServiceA ADVAPI32 创建一个服务进程,增加到服务控制器
00404004 StartServiceCtrlDispatcherA ADVAPI32 连接服务控制器线程,能够控制该线程
00404008 OpenSCManagerA ADVAPI32 函数建立了一个到服务控制管理器的连接,并打开指定的数据库。
00404010 CreateWaitableTimerA KERNEL32 创建一个可等待的计时器对象。
00404014 SystemTimeToFileTime KERNEL32 将系统时间到文件时间。
00404018 GetModuleFileNameA KERNEL32 获取当前进程已加载模块的文件的完整路径
0040401C SetWaitableTimer KERNEL32 定时器
00404020 CreateMutexA KERNEL32 找出当前系统是否已经存在指定进程的实例。如果没有则创建一个互斥体。
00404024 ExitProcess KERNEL32 退出进程
00404028 OpenMutexA KERNEL32 为现有的一个已命名互斥体对象创建一个新句柄
0040402C WaitForSingleObject KERNEL32
00404030 CreateThread KERNEL32
00404034 GetCurrentProcess KERNEL32 伪句柄
00404038 Sleep KERNEL32
0040403C GetStringTypeA KERNEL32
00404040 LCMapStringW KERNEL32
00404044 LCMapStringA KERNEL32
00404048 GetCommandLineA KERNEL32 获得指向当前命令行缓冲区的一个指针
0040404C GetVersion KERNEL32 当前运行的版本
00404050 TerminateProcess KERNEL32 终止指定进程及其所有线程
00404054 UnhandledExceptionFilter KERNEL32
00404058 FreeEnvironmentStringsA KERNEL32
0040405C FreeEnvironmentStringsW KERNEL32
00404060 WideCharToMultiByte KERNEL32 映射一个unicode字符串到一个多字节字符串
00404064 GetEnvironmentStrings KERNEL32
00404068 GetEnvironmentStringsW KERNEL32
0040406C SetHandleCount KERNEL32
00404070 GetStdHandle KERNEL32
00404074 GetFileType KERNEL32
00404078 GetStartupInfoA KERNEL32
0040407C HeapDestroy KERNEL32
00404080 HeapCreate KERNEL32
00404084 VirtualFree KERNEL32 释放内存
00404088 HeapFree KERNEL32
0040408C RtlUnwind KERNEL32 写到文件
00404090 WriteFile KERNEL32
00404094 HeapAlloc KERNEL32
00404098 GetCPInfo KERNEL32
0040409C GetACP KERNEL32
004040A0 GetOEMCP KERNEL32
004040A4 VirtualAlloc KERNEL32
004040A8 HeapReAlloc KERNEL32
004040AC GetProcAddress KERNEL32 检索指定的动态链接库(DLL)中的输出库函数地址
004040B0 LoadLibraryA KERNEL32 载入指定的动态链接库,并将它映射到当前进程使用的地址空间。
004040B4 MultiByteToWideChar KERNEL32 映射一个字符串到一个宽字符(unicode)的字符串
004040B8 GetStringTypeW KERNEL32
004040C0 InternetOpenUrlA WININET 通过网址打开一个资源
004040C4 InternetOpenA WININET 初始化一个应用程序,以使用 WinINet 函数。

对一些感觉有意义又不是太懂的API函数百度百科了一下,综上发现这个
程序导入了三个动态链接库:ADVAPI32,KERNEL,WININET
函数可能涉及到的几个功能如下:创建一个服务自启动,创建互斥量使其单开,只有一个程序可以运行(关于互斥量书中有讲到,可以理解为控制公共资源的访问),设置一个计时器,可能回设置代码的触发时间;对字符串进行操作,写入文件;打开网址资源等;

有了大概的思路之后,载入IDA静态分析:
IDA载入之后
可以看到程序主函数指挥调用两个子函数(call),分别为call1:查看上面的导入函数,可知其为打开服务控制器,控制自身服务;call2:调用子函数,双击跟入,程序如图:
程序流程图
可以看到程序调用函数OpenMutexA()函数,如上提到,为名称为HGL345的互斥体对象创建句柄,如果存在HGL345,返回成功,调到正确,否则,返回值为0.跳转到失败,程序退出。

跳转实现,即不存在名字为HGL345的互斥体,代码如下:`

.text:00401064                 push    esi
.text:00401065                 push    offset Name     ; "HGL345"
.text:0040106A                 push    0               ; bInitialOwner
.text:0040106C                 push    0               ; lpMutexAttributes
.text:0040106E                 call    ds:CreateMutexA
.text:00401074                 push    3               ; dwDesiredAccess
.text:00401076                 push    0               ; lpDatabaseName
.text:00401078                 push    0               ; lpMachineName
.text:0040107A                 call    ds:OpenSCManagerA
.text:00401080                 mov     esi, eax
.text:00401082                 call    ds:GetCurrentProcess
.text:00401088                 lea     eax, [esp+404h+BinaryPathName]
.text:0040108C                 push    3E8h            ; nSize
.text:00401091                 push    eax             ; lpFilename
.text:00401092                 push    0               ; hModule
.text:00401094                 call    ds:GetModuleFileNameA
.text:0040109A                 push    0               ; lpPassword
.text:0040109C                 push    0               ; lpServiceStartName
.text:0040109E                 push    0               ; lpDependencies
.text:004010A0                 push    0               ; lpdwTagId
.text:004010A2                 lea     ecx, [esp+414h+BinaryPathName]
.text:004010A6                 push    0               ; lpLoadOrderGroup
.text:004010A8                 push    ecx             ; lpBinaryPathName
.text:004010A9                 push    0               ; dwErrorControl
.text:004010AB                 push    2               ; dwStartType
.text:004010AD                 push    10h             ; dwServiceType
.text:004010AF                 push    2               ; dwDesiredAccess
.text:004010B1                 push    offset DisplayName ; "Malservice"
.text:004010B6                 push    offset DisplayName ; "Malservice"
.text:004010BB                 push    esi             ; hSCManager
.text:004010BC                 call    ds:CreateServiceA
.text:004010C2                 xor     edx, edx
.text:004010C4                 lea     eax, [esp+404h+FileTime]
.text:004010C8                 mov     dword ptr [esp+404h+SystemTime.wYear], edx
.text:004010CC                 lea     ecx, [esp+404h+SystemTime]
.text:004010D0                 mov     dword ptr [esp+404h+SystemTime.wDayOfWeek], edx
.text:004010D4                 push    eax             ; lpFileTime
.text:004010D5                 mov     dword ptr [esp+408h+SystemTime.wHour], edx
.text:004010D9                 push    ecx             ; lpSystemTime
.text:004010DA                 mov     dword ptr [esp+40Ch+SystemTime.wSecond], edx
.text:004010DE                 mov     [esp+40Ch+SystemTime.wYear], 834h
.text:004010E5                 call    ds:SystemTimeToFileTime
.text:004010EB                 push    0               ; lpTimerName
.text:004010ED                 push    0               ; bManualReset
.text:004010EF                 push    0               ; lpTimerAttributes
.text:004010F1                 call    ds:CreateWaitableTimerA
.text:004010F7                 push    0               ; fResume
.text:004010F9                 push    0               ; lpArgToCompletionRoutine
.text:004010FB                 push    0               ; pfnCompletionRoutine
.text:004010FD                 lea     edx, [esp+410h+FileTime]
.text:00401101                 mov     esi, eax
.text:00401103                 push    0               ; lPeriod
.text:00401105                 push    edx             ; lpDueTime
.text:00401106                 push    esi             ; hTimer
.text:00401107                 call    ds:SetWaitableTimer
.text:0040110D                 push    0FFFFFFFFh      ; dwMilliseconds
.text:0040110F                 push    esi             ; hHandle
.text:00401110                 call   ds:WaitForSingleObject
.text:00401116                 test    eax, eax
.text:00401118                 jnz     short loc_40113B
.text:0040111A                 push    edi
.text:0040111B                 mov     edi, ds:CreateThread
.text:00401121                 mov     esi, 14h

先调用CreateMutex函数创建一个名为HGL345的互斥体;
调用OpenSCManager函数连接到服务控制器,以便更改服务;
CreateService 创建一个服务;(参数:dwStartType参数的值会控制程序的启动方式)
之后设置程序的时间的各个变量,年份赋值为834H,也就是2100;
CreateWaitableTimerA函数创建定时器对象;
SetWaitableTimer创建定时器,应该是程序中某些代码的启动时间;
WaitForSingleObject进入等待
之后创建14h个线程,之后结束程序。代码如图所示:
创建线程
仔细分析函数中lpstartaddress参数,表明了这个线程的起始地址,双击进入函数代码部分:

.text:00401150                 push    esi
.text:00401151                 push    edi
.text:00401152                 push    0               ; dwFlags
.text:00401154                 push    0               ; lpszProxyBypass
.text:00401156                 push    0               ; lpszProxy
.text:00401158                 push    1               ; dwAccessType
.text:0040115A                 push    offset szAgent  ; "Internet Explorer 8.0"
.text:0040115F                 call    ds:InternetOpenA
.text:00401165                 mov     edi, ds:InternetOpenUrlA
.text:0040116B                 mov     esi, eax
.text:0040116D
.text:0040116D loc_40116D:                             ; CODE XREF: StartAddress+30j
.text:0040116D                 push    0               ; dwContext
.text:0040116F                 push    80000000h       ; dwFlags
.text:00401174                 push    0               ; dwHeadersLength
.text:00401176                 push    0               ; lpszHeaders
.text:00401178                 push    offset szUrl    ; "http://www.malwareanalysisbook.com"
.text:0040117D                 push    esi             ; hInternet
.text:0040117E                 call    edi ; InternetOpenUrlA
.text:00401180                 jmp     short loc_40116D
.text:00401180 StartAddress    endp

涉及到两个函数,通过导入表那里的分析,我们很容易看到,功能为初始化并打开一个固定网址的资源,通过jmp不断进行访问,而不结束循环。

zero1994
关注
专栏目录
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1504
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
学习笔记-第十八章 恶意代码分析实战
Yes_butter的博客
04-09 647
第十八章 加壳和脱壳 加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。 1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
恶意代码分析实战07-01
Yale的博客
09-19 609
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题 Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留) Q2.为什么这个程序会使用一个互斥量? Q3.可以用来检测这个程序的基于主机特征是什么? Q4检测这个恶意代码的基于网络的特征是什么 Q5这个程序的目的是什么 Q6这个程序什么时候完成执行 先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数 ​ 比如上图的openscmanager和createService,starts
恶意代码分析实战07-02
Yale的博客
09-19 4182
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战 Lab 6-4 习题笔记
isinstance的博客
09-20 1300
Lab 6-4问题1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?解答: 和以前一样,先按照书中的步骤走一遍先是静态分析导入的函数都和Lab 6-3一样字符串的话也基本差不多,都和上一个程序一样,除了这点之外然后这里会出现一个格式输出符%d这是上一个程序里没有的然后会发现这个代码的结构和上三个都不一样我们从开始,这里和原来一样,调用sub_401000,sub_401000返回
恶意代码分析实战实验7-2
qq_43481350的博客
09-01 212
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker 实验过程 首先我们可以使用Dependency Walker软件查看程序使用了哪些导入函数: 我们可以发现此函数会创建一个Co,OleInitialize用于初始化组件文件对象库,OleUninitialize用于关闭组件对象库 下面使用IDA进行分析分析以上主函数,发现其存在rid以及clsid,我们点开rid进入: 其圈出来的就是他的实际数据如下:0D30C1661- 0C
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3589
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 928
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1248
第13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 - 将恶意代码伪装成一个合法的...
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战Lab0701
ACdream
02-25 478
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
5.3 恶意代码功能演示示例(上兴远程控制2014版)
robacco的博客
09-23 1233
一、上兴远程控制 1、在顶部菜单栏点击“生成”按钮,开始配置服务端(当有目标主机运行你制作的木马程序,他就成了你的服务端,被你控制) 示例选择使用静态IP,也可以使用动态域名解析方式,可在花生壳http://www.oray.com或希网 http://www.3322.net申请免费域名。 可选择是否插入IE、插入系统进程、注册表表启动以及加外壳等。配置完成后点击“生成服务端”,生成服务...
恶意代码实战07-03
weixin_50847719的博客
11-19 693
把07-03exe和dll放网盘了,链接:https://pan.baidu.com/s/13qyq4Xd0I9cYAiWSGMGdPA 提取码:hlll –来自百度网盘超级会员V2的分享 老规矩,先简单静态分析 手动判断是否加壳,之前手写的笔记 看到FindFirstFile和FindNextFile说明恶意代码会搜索系统中的文件 先静态分析exe文件 IDA PRO .text:00401440 _main proc near ; CODE X.
ring3层恶意代码实例汇总
hl1293348082的专栏
05-16 206
之前一期我们学习了 IAT 的基本结构,相信大家对 C++ 有了一个基本的认识,这一期放点干货,我把 ring3 层恶意代码常用的编程技术给大家整理了一下,所有代码都经过我亲手调试并打上了非常详细的注释供大家学习,如下图: 我会在其中挑出几个,采用反汇编的方式,给大家展示恶意代码的执行流程以及原理,由于 ring3 层的技术过于古老,希望大家秉着学习和巩固的心态来看待该文章。 一共九种技术,十套源代码,分两期向大家介绍编程相关思路,希望大家与我一起学习,共同进步。 源码下载地址(稍后会把源码上传到
恶意代码分析实战 8 恶意代码行为
最新发布
农夫果园好好喝的博客
01-24 1672
首先使用strings进行分析。Gina是在 msgina.dll中的。很多有关资源的函数。关于注册表的函数。使用ResourceHacker查看。发现是一个PE文件。保存为dll文件。启动Promon。进入注册表查看。向磁盘释放了一个msgina32.dll。使用WinMD5发现这个dll和我们在资源中提取出来的文件是同一个文件。代码将自己添加到注册表中,使得系统被重启后,msgina32.dll会被重新加载。非常多的以Wlx开头的函数名字,可以判断是gina。
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1153
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战15-1
Yale的博客
05-29 2884
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题 Q1.这个二进制程序中使用了何种对抗反汇编技术? Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程? Q3.这种对抗反汇编技术被使用了多少次? Q4.什么命令行参数会让程序输出“GoodJob”? 首先载入IDA进行分析 0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转 而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的 jz跳转的地方是loc_401010+1,也就是这里 跳转到指
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4050
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
JavaSE1-7章学习笔记:基础与环境配置
"这是一份关于JavaSE的学习笔记,涵盖了从1到7章的基础内容,适合初学者掌握Java编程的基础知识。笔记中强调了Java命名规范和编写注释的重要性,同时也提供了配置Java开发环境的具体步骤,包括设置JAVA_HOME、PATH和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值