学习笔记-第三章 恶意代码分析实战

最新推荐文章于 2022-04-13 16:33:31 发布
最新推荐文章于 2022-04-13 16:33:31 发布
阅读量1k 收藏 4
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88085524
版权

第三章

1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。
	如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。

2.运行恶意代码。
	启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc
	export argc是dll导出表的函数名或者序号。

3.Process monitor。 Windows下面的高级监视工具,提供监控注册表,文件,网络,进程,线程行为。
	可以选择filter进行过滤。常用过滤有 operation,pid,process name...

4.Process Explorer 进程浏览器。可以查看进程的信息process,pid,cpu,description,company name。视图每秒更新一次。

5.Regshot 比较注册表快照。如果是对注册表进行分析时,可以选择使用这个来比较程序运行前后注册表的变化。

6.模拟网络。

7.wireshark 记录网络数据包。

8.基础动态分析工具实践。
 <1>.运行进程监视器,设置过滤可执行恶意代码名,运行前清空所有事件
 <2>.启动进程浏览器
 <3>.使用regshot 进行注册表的第一个快照
 <4>.使用wireshark来记录网络行为。
 <5>.运行恶意程序,通过前面的软件进行分析。

课后作业

实验软件:wireshark, process monitor, process explorer, exeinfo pe, olldbg

Lab 3-1

使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码

最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3551
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码字符串,从中查看有用的线索,加过壳的恶意代码字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 1116
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2560
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 3039
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码分析实战 第三章课后实验
Stronger_99的博客
04-09 694
问题1: 导入函数字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看,可以发现,它所要启动的是vmx32to64.exe程序。 通过对...
动态分析基础技术
Hvnt3r的博客
03-06 3758
动态分析基础技术 原文链接:https://hvnt3r.top/2019/01/动态分析基础技术/ 知识点 与静态分析不同,动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程,一般来说,对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节,静态分析与动态分析都有各自的有点以及局限性,本章重点介绍了动态分析的一些手法和技巧。 **用沙箱来分析恶...
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
Eclipse插件开发学习笔记-源代码1至24章.zip
04-09
学习笔记涵盖从基础到进阶的Eclipse插件开发全过程,通过24个章节的源代码实例,旨在帮助开发者掌握如何创建、调试和发布Eclipse插件。 在Eclipse插件开发中,首先需要理解的是OSGi(Open Services Gateway ...
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2947
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意代码分析-第三章-动态基础分析
每昔的博客
07-27 1174
运行恶意代码        使用沙箱:用作初始诊断:自动执行与分析  缺点              只能简单执行,无法输入控制指令。              不能记录所有事件,只报告基本功能。              沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。        运行代码(.dll):               rundll32.exe程序 ...
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1130
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战-行为监控
weixin_30520015的博客
01-11 294
进程监视器 ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。 通过Filter-Filter打开过滤菜单,过滤文件行为 查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。 进程浏览器 Process Explorer(进程浏览...
Lab 3-2
bangren3304的博客
01-08 227
Analyze the malware found in the file Lab03-02.dll using basic dynamic analysis tools. Questions and Short Answers How can you get this malware to install itself? A: To install the malware as a ...
初始化一个dva+antd的react项目时npm start出错
yesbuter_zhang的博客
02-13 2836
按照antd官网的项目实战实现一个项目.webpackrc中添加"extraBabelPlugins": [ ["import", { "libraryName": "antd", "libraryDirectory": "es", "style": "css" }] ],后报以下错,删掉.webpackrc中的该段内容,保留{},该错误便没有
react-native加载项目,报错,因为SDK路径不对
yesbuter_zhang的博客
02-24 2085
从公司拷来react-native项目代码,报错说sdk路径不对,肯定是项目代码中android目录下的本地配置文件不对,因为公司电脑品牌和自己电脑品牌不一样,所以默认的用户名不一样,修改android目录下的local.properties文件,最下面有一行像这样的sdk.dir=C\:\\Users\\lenovo\\AppData\\Local\\Android\\Sdk         表...
如何利用基于云的沙箱来分析恶意软件?
weixin_34348805的博客
08-01 375
对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。 有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。 为了加强端点安全...
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 961
Lab 3-1 使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
恶意代码分析实战 Lab 3-1 习题笔记
isinstance的博客
08-29 5318
Lab 3-1问题1.找出这个恶意代码的导入函数字符串列表。解答: (动态分析建议用winxp pro 32bit,下面你就知道为什么这么建议了)我们用Dependency Walker会发现这个程序只有很少的导入函数,第一是怀疑是不是加壳了然后我们PEiD来看,的确是加壳了然后就开始尝试脱壳了万能脱壳这次不是万能的了目前我们知道的唯一个导入函数就是ExitProcess然后查看一下字符串 前面
恶意代码分析实战Lab0301
ACdream
01-28 940
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值