恶意代码分析实战 第九章课后实验 Lab09-03

最新推荐文章于 2022-06-07 22:30:23 发布
最新推荐文章于 2022-06-07 22:30:23 发布
阅读量831 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stronger_99/article/details/89301585
版权

问题1:

首先用peid查看导入表:

这里发现了四个,分别是kernel32.dll  netapi32.dll  DLL1.dll  DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary:

双击查看,然后在地址查查看交叉引用窗口,快捷键Ctrl+x;

 

重点看一下前两个调用:

看到这两个调用也分别出现了.dll文件,分别是DLL3.dll  user32.dll。所以呢,一共导入了六个.dll。

问题2:

基地址利用peid查看发现三个.dll的基地址都是10000000。

问题3:

使用OD载入Lab09-03.exe,点击M。

看到了DLL1与DLL2的基地址分别是003C0000与10000000。这个和第二个问题查看的结果是不同的,这是可能存在的。还有不同的系统也有可能造成不同的结果。

DLL3.dll是在程序中动态加载的,首先用ida查看一下LoadLibrary的地址:

然后用OD跳转的这个地址:

在下一行设置一个断点,然后运行

这样就能加载DLL3.dll了,点击M查看:

DLL3.dll的基地址是00430000。

问题4:

在ida开始的地方,看到调用了DLL1Print,这个函数是保存在DLL1.dll中的。

用ida打开DLL1.dll,然后找到DLLPrint的位置,如下:

这里调用了sub_10001038,一共有两个参数,第一个是"DLL 1 mystery data %d\n",这个参数里出现了%d\n,就说明这是一个printf函数。第二个参数的内容就是dword_10008030的内容,双击之后对其进行交叉引用:

双击查看写入的操作:

可以看到dword_10008030这里保存的是GetCurrentProcess的返回值,也就是当前进程的ID值,也是DLL1的神秘数据(问题7 的第一小问)。

问题5:

查看WriteFile,

WriteFile里的一个参数保存了一个句柄,hFile是DLL2ReturnJ的返回值,所以用ida打开DLL2.dll。

同时分析一下DLL2Print。

在这里再一次的看到了神秘数据,这个神秘数据想要打印的内容保存在了dword_1000B078里,双击之后交叉引用查看:

CreateFileA的返回值是dword_1000B078,也就说明了,第二处神秘数据所打印的就是temp.txt这个文件的句柄(问题7的第二小问)。

下面分析DLL2ReturnJ

这段程序很简单,就是将dword_1000B078给eax,然后也就返回了。经过上面的分析指导dword_1000B078这个就是temp.txt的句柄。所以呢,WriteFile的写入对象,也就是temp.exe

问题6:

 

使用MSDN查询可知,NetScheduleJobAdd这个函数的作用就在于制定一个任务,并且在未来的一个特定的时间来执行。这个函数的第二个参数Buffer,是一个指向AT_INFO结构的指针,该结构用于描述我们所提交的任务。   在上图的反汇编代码中,程序首先调用了LoadLibrary来加载DLL3.dll,接着利用GetProcAddress获取了DLL3Print以及DLL3GetStructure这两个函数的地址。

 

使用ida来打开DLL3.dll,首先分析一下DLL3Print这个函数:

在这里在一次的看到了神秘数据,这次的神秘数据指的是WideCharStr里的内容,双击然后交叉引用查看一下:

这里发现了DLLMain函数,双击:

这里调用了MultiByteToWideChar函数,通过MSDN查询知道这个函数用于将多字节转换成宽字符的形式。它会将lpWideCharStr参数的内容进行转换,保存在WideCharStr中。而lpWideCharStr中的内容就是“ping www.malwareanalysisbook.com”这段字符串在内存中的地址。那也就知道了神秘地址就是在内存中的地址(问题7的第三小问)。

看一下DLL3GetStructure

将dword_1000B0A0的地址赋给以eax的值为地址的内存空间中,双击dword_1000B0A0利用交叉引用查看一下

双击DLLMain:

这是一系列的赋值操作,而最终这个区域的地址,会成为NetScheduleJobAdd这个函数的第二个参数。其实,它的第二个参数是一个AT_INFO结构,而dword_1000B0A0中的内容就是一个结构体。我们找到Structures窗口按下键盘上的Fn+Insert键(或者insert,这个应该是版本不同造成的),选择“Add standard structure”,添加AT_INFO结构从而将这个结构体显示出来。然后来到dword_1000B0A0在内存中的位置,选择菜单中的Edit下面的Struct Var,单击AT_INFO,就转换成功了:

问题7:

这个在前面都已经提到过了,就不在说了。

问题8:

首先用ida加载DLL2.dll,在load a new file页面选择Manuai load也就手动加载,然后点击OK。然后要求再输入基地址

然后查看OD中的DLL2的地址是003C0000,将地址输入后连续点击几个yes,

选择就可以看到地址是003C1000。

为什么不是003C0000呢?

因为当前属于代码的区段,看一下OD

代码的区段也是从003C1000开始的,这就说明了OD与ida加载的地址匹配了。

 

Stronger_99
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言PEID的查壳工具
07-21
易语言PEID的查壳工具源码,PEID的查壳工具,查看导入表,查看基本信息,取父级文本,计算偏差,编辑框_文件,查看区段,查看详情,查看导出表,查看TLS表,查看调试表,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_IMAGE_IMPORT_DES
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1487
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 626
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战第12章实验
weixin_41487541的博客
03-04 447
Lab 12-1 首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。 IDA打开Lab12-01.exe分析程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。 接下来获取Lab12-01.dll所在的完全路径,并将路径存
一个查看导入表的工具
Dustfly的专栏
02-24 3473
推荐一个查看导入表的工具 作者:Sunline              [email protected] 日期:2008年02月源代码下载:http://download.csdn.net/user/lisunlin0关键字: PE导入表, 完全重定位代码, 无导入表程序,        Show Import Table, relocable code
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 --- 第九章 OllyDbg
abelxu
05-24 855
Lab 9-1 查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。 字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑 主流程分析 1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件 2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令 打开注册表 LS
恶意代码分析实战9-3
Yale的博客
05-27 482
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么 Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么 Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么 Q
恶意代码分析Lab09-03
m1287578441的博客
06-07 333
恶意代码分析Lab09-03
PEiD--查看导出函数
跃然实验室
06-08 699
PEiD--查看导出函数
DLL的基础知识和第一个DLL程序
Quellaaa的博客
11-12 2256
该文章讲述了dll的基本知识、dll的工程建立和使用dll两种方式实现在应用程序中使用dll的导出函数。 一、DLL的简单介绍 1. DLL定义 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行...
VC++ DLL 1 一点概念
上善若水,为而不争
09-04 252
1、在写代码的时候,我们可能会经常要用到一些封装好的函数或者类,这些可能是C/C++的标准库提供的,也可能是由别人开发的非标准库,这个时候就会涉及到动态链接库或者静态链接库的使用了。 举个例子,做图像处理的时候会用到OpenCV,那么很显然,OpenCV不是C/C++的标准库,是英特尔公司开发的一套免费的图像处理工具,或者叫图像处理库,我们在使用它的时候就需要在工程中载入头文件、lib文件等,但...
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1842
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 第九章课后实验Lab09-02
Stronger_99的博客
04-15 830
问题1: 在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是00401128,让后让OD跳转到此地址: 首先看到了一大串的mov指令 这是将字节移动到栈中的操作,出现了两个0,...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1464
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1076
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
python数据分析与挖掘实战第四章数据预处理课后答案
最新发布
04-03
1. 数据预处理的目的是什么? 数据预处理的目的是为了减少或消除数据中的噪声、缺失值、异常值等问题,使得数据更加干净、准确、可靠,为后续的数据分析和建模提供良好的数据基础。 2. 数据清洗的主要步骤有哪些? 数据清洗的主要步骤包括数据去重、缺失值处理、异常值处理、数据类型转换和数据标准化等。 3. 数据去重的方法有哪些? 数据去重的方法包括基于列去重、基于行去重和基于列和行的去重。基于列去重是指对某一列中的重复数据进行去重,基于行去重是指对数据表中的重复行进行去重,基于列和行的去重是指同时对某一列和数据表中的重复行进行去重。 4. 缺失值处理的方法有哪些? 缺失值处理的方法包括删除缺失值、插值法、使用相似样本填补缺失值等。删除缺失值是指直接删除包含缺失值的行或列;插值法是指通过对已有数据进行插值估计缺失值;使用相似样本填补缺失值是指利用具有相似特征的样本来填补缺失值。 5. 异常值处理的方法有哪些? 异常值处理的方法包括基于统计学方法、基于聚类方法和基于规则的方法。基于统计学方法是指利用统计学方法对数据进行描述和分析,发现异常值并进行处理;基于聚类方法是指利用聚类算法将数据分成不同的类别,对于不属于任何类别的数据视为异常值并进行处理;基于规则的方法是指利用领域知识或经验规则对数据进行分析和处理。 6. 数据类型转换的方法有哪些? 数据类型转换的方法包括数值型类型转换、字符型类型转换和日期型类型转换等。数值型类型转换是指将数据从字符串类型转换为数值类型,字符型类型转换是指将数据从数值类型转换为字符串类型,日期型类型转换是指将数据从字符串类型转换为日期类型。 7. 数据标准化的方法有哪些? 数据标准化的方法包括最小-最大标准化、z-score标准化和小数定标标准化等。最小-最大标准化是指将数据缩放到[0,1]区间内;z-score标准化是指将数据转换为均值为0,标准差为1的正态分布;小数定标标准化是指将数据除以一个比较大的基数,使得所有数据都在[-1,1]之间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值