学习笔记-第五章 恶意代码分析实战

最新推荐文章于 2024-04-30 17:57:54 发布
最新推荐文章于 2024-04-30 17:57:54 发布
阅读量892 收藏 1
点赞数 1
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88391739
版权

第五章

1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时
会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这
些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。

2.选择合适的反汇编窗口模式
 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除
 <2>文本模式,是传统的视图模式,并且必须使用它查看一个二进制的数据区。
 对分析有用的窗口
  函数窗口 列举可执行文件中的所有函数,并显示每个函数的长度。 L指明是库函数,
  名字窗口 列举每个地址的名字,函数,命名代码,命名数据和字符串
  字符串窗口 显示所有的字符串。默认只显示长度超过5个字符的ASCII字符,可以修改属性
  导入表窗口 列举一个文件所有的导入函数
  导出表窗口 列举一个文件的所有导出函数。分析dll时这个窗口很有用。
  结构窗口 列举所有活跃数据结构的布局。这个窗口也提供用自己创建的数据结构作为内存布局模板的能力

3.搜索
 从顶部的菜单选择搜索
 search->Next Code ,移动光标到包含你所指定的指令的下一个位置。
 search->Text,在整个反汇编窗口中搜索一个指定的字符串。
 search->sequence of bytes,在十六进制视图窗口中对一个特定字节序列执行二进制搜索。

4.使用交叉引用
 交叉引用,在IDA Pro中被成为xref,可以告诉你一个函数在何处被调用,或者一个字符串在何处被使用,
 如果你识别了一个有用的函数,并且想要知道它在被调用时用了那些参数,你可以使用一个交叉引用,
 来快速浏览这些参数被放在栈上的什么位置。基于交叉引用关系也可以生成有趣的图形。
 
 代码交叉引用
 数据交叉引用

5.分析函数
给定已经分析的函数,变量有意义的变量名字。

6.使用图形工作。

7.增强反汇编。
 IDA Pro允许修改它的反汇编。 IDA Pro没有撤销特性,所以做修改时要当心。
 <1>重命名位置
 <2>注释
 <3>格式化操作数。 例如62h可以修改为八进制的 142o,二进制1100010b或者ASCII字符b。
 <4>使用命名的常量
 <5>重新定义代码和数据

8.使用插件扩展IDA

课后作业

实验软件:IDA Pro
只用IDA pro分析在文件lab05-01.dll中发现的恶意代码。这个实验的目的是给你一个使用ida pr
最低0.47元/天 解锁文章
浅夜。
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析 Lab5
baidu_41108490的博客
05-15 1709
这一节完全是IDA的使用介绍1直接用IDAPro打开.dll文件,就直接来到Dllmain处,可以知道地址为0x1000D02E2 3要知道gethostbyname在WS2_32.dll就比较容易找到,而且注意是区分大小写的.这是小写,找到后双击到达输出表处,然后右键gethostbyname函数名选择Xrefs graph to查看有多少函数调用它结果如图:五条线说明有五个函数调用他4在上题的...
恶意代码分析实战——x86/x64恶意行为
aming小老弟
02-08 429
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 1116
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
浅谈恶意代码的研究分析
weixin_68789096的博客
04-25 707
恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑 数据的安全性和完整性的目的。恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用,其中包含了傀儡程序与傀儡网络、Rootkit、社交 工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往,而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济 体。
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
恶意代码分析实战 第五章课后实验
Stronger_99的博客
04-10 847
问题1: 用ida打开Lab05-01.dll。就可以看到DllMain的地址为0x1000D02E。 问题2: 点开Imports,找到gethostbyname,双击点进去就可以看到了。 问题3: 单击地址,Ctrl+x。 一共检测到18个,但是并不全是,r为读取不是函数的调用,p才是函数的调用,看地址1047,1365,1656,208F,2CCE。一共有5个...
DAMA学习笔记-第01-17章细化第5章数据建模较多内容
04-29
DAMA学习笔记-第01-17章细化第5章数据建模较多内容
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
《C++20设计模式》学习笔记-第5章单例模式
02-05
《C++20设计模式》学习笔记-第5章单例模式
恶意代码分析实战 12 对抗反汇编
农夫果园好好喝的博客
01-25 699
首先,使用IDA载入该文件。我们可以看到这个程序在地址0040100E处存在一个对抗反汇编技术的痕迹。eax总是被置为零,jz跳转总是被执行。所以我们认为这一行是假冒的call指令,,将004010010置为数据。下面的几行再转换为代码。!这个程序使用一个永远为假的条件分支:xor eax,eax,随后是一个jz指令。这个程序欺骗反汇编器反汇编机器码xE8,它是ca11(占5个字节)指令的第一个字节,然后紧跟着的是一个z指令。永假的条件分支在这个程序中被使用了5次。
恶意代码实战分析Lab05-01
王陈锋的博客
06-10 739
Lab05-01 只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。 1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置 或者点击图中红色区域 然后会出现viewB 然后可以右键点击 便到了dllmain的开头地址。 2.使用Imports窗口并浏览到gethostbyna......
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
python二进制文件打开出错_python中的“无法执行二进制文件”错误
weixin_39979948的博客
12-17 1167
我一直得到以下错误:$ ./test.py-bash: ./test.py: cannot execute binary file尝试通过cygwin在python中运行以下文件时:#!usr/bin/pythonwith open("input.txt") as inf:try:while True:latin = inf.next().strip()gloss = inf.next().str...
2023年中职网络安全竞赛——远程代码执行渗透测试解析(详细)
旺仔Sec&blog
03-12 860
2023年中职网络安全竞赛——远程代码执行渗透测试解析(详细)
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4750
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1836
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1253
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3551
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值