恶意代码分析实战 第三章课后实验

最新推荐文章于 2022-04-10 11:30:10 发布
最新推荐文章于 2022-04-10 11:30:10 发布
阅读量742 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stronger_99/article/details/89161480
版权

问题1:

导入函数与字符串列表如下:

 

 

问题2:

创建了一个WinVMX32的互斥量。

通过上图显示的内容可以知道,程序有一些联网的操作。

 

 

通过Procmon监测

 

第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看,可以发现,它所要启动的是vmx32to64.exe程序。

通过对比发现,这个程序和我们这次的实验文件的大小相等,那么可以认为这两个就是同一个文件。

  

 

动态分析

问题1:

安装rundll32.exe Lab03-02.dll,installA

 

问题2:

利用regshot,可以发现,恶意程序添加了一个名为IPRIP的服务。发现ImagePath后有一个svchost,说明恶意程序会在这个svchost中实现启动。恶意程序基于本地计算机的特征DisplayName以及Description。

启动成功了。

问题3:

利用Procexp搜索Lab03-02.dll

问题4:

在procmon中设置PID值为1160即可进行过滤。

问题5:

一共有五个导出函数,ServiceMain和UninstallService是服务函数。通过installA这个函数进行安装。然后再看一下导入表。在OpenServiceA和wininet.dll联网操作。

问题6:

问题1:

打开Procexp,再点击运行Lab03-03.exe时创建了一个名为 svchost.exe的程序,然后Lab03-03.exe就消失掉了,只剩下了svchost

问题2:

点击svchost.exe,然后点击Strings,在memory选项中看到了上图,可以看到有一个.log,已及许多和键盘上一样的,这些在lmage中都没有看到,这就是内存修改行为。可以推测这个恶意程序为一个键盘记录器。

问题3:这个恶意代码会在桌面上创建一个practicalmalwareanalysis记事本,用来记录.

这是一个很明显的键盘记录器,记录按下键盘的每一下操作。

问题4:这个恶意代码的目的是什么?

目的就是创建一个svchost,以混淆视听。然后通过这个程序,就可以启动一个键盘记录器。

 

 

问题1:

双击运行文件直接自动删除。

问题2:

这次使用Prcess Monitor来进行监控。然后运行这次的实验程序。Prcess Monitor没有给我们有效的信息。可以看一下关于进程的监控,可以发现程序创建了一个进程,程序调用了cmd.exe这个程序,然后通过DOS命令删除掉了恶意程序自身。由于这个程序可能需要参数才能有效执行,所以我们的动态分析难以有效实施。或者说这个程序本身就有问题,使得无法有效分析。

问题3:

现在没有其他方法。

Stronger_99
关注
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1082
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1005
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析实战
博文视点(北京)官方博客
05-28 7880
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
恶意代码分析实战 --- 第三章 动态分析基础技术
abelxu
05-16 802
Lab 3-1 1.找出恶意代码的导入函数与字符串列表 导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名 2.这个恶意代码在主机上的感染迹象特征是什么? 3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么? 提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络) 写了一个文件到C:\WINDOWS\System32\vmx32to6
恶意代码分析实战》--第三章:动态基础分析
I have a dream
09-13 428
一、虚拟网络环境配置 配置环境:服务器端kali2.0 客户端win7 1、配置inetsim kali自带inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置链接:http://www.cnblogs.com/hyq20135317/p/5515675.html 2、安装ApateDNS 一开始在x...
恶意代码分析实战课后第三章
weixin_43988404的博客
03-20 377
Lab 3-1 1、首先静态分析,使用PEid分析,加壳 目前还不会PEncrypt的脱壳,后续再补充(网上资料PEnrypt 3.1 Final的OEP在401528处,以后验证) 因为加壳了,所以显示的导入表和函数不多 。 使用strings进行查看 出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 928
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 784
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
学习笔记-第四章 恶意代码分析实战
Yes_butter的博客
03-04 648
第四章 x86反汇编学习 一。计算机系统被描述为以下六个抽象层次。 1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的 复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。 2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们 从更高的机器码层翻译过来,提供了访问硬件的接口...
恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)
qq_43443410的博客
07-18 2527
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
恶意代码分析 关于第三章 Lab03-1
哒君的博客
07-23 794
恶意代码分析第三章实验 非常有用 开启了新世界的大门
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 651
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 213
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1205
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 427
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值