学习笔记-第六章 恶意代码分析实战

最新推荐文章于 2023-01-24 20:56:08 发布
最新推荐文章于 2023-01-24 20:56:08 发布
阅读量770 收藏 3
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88417071
版权
课后作业本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。Lab 6-1在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。问题1.由mai...
摘要由CSDN通过智能技术生成

第六章

1.全局变量,局部变量。 全局变量初始化时为正值,局部变量为负值

2.反汇编算术操作

3.识别if语句。 jnz如果不相等跳转,jz相等跳转
 
4.for循环,while循环

5.函数调用约定。

6.switch语句。俩种形式,一种if语句,第二种跳转表

7.数组,结构体

8.链表遍历
课后作业
本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。

Lab 6-1

在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。
问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么?
  if判断,判断调用sub_401000,之后局部变量是否变化
2.位于0x40105F的子过程是什么?
  打印输入
3.这个程序的目的是什么?
  判断当前网络状态

Lab 6-2

在这个实验中,你将分析在文件Lab06-02.exe中发现的恶意代码。
问题

1.main函数调用的第一个子过程执行了什么操作
  先判

最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1123
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码防范实验-Lab04.exe分析
Lauhoman的博客
06-05 1964
实验目的分析含有恶意代码的程序Lab04.exe。使用软件 PEiD Ollydbg process monitor 7-Zip WinHex 使用所给文件完成以下问题 这些文件何时编译的? 这两个文件是否有迹象被加壳或混淆?证据何在? 是否有导入函数?功能? 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找? 是否有关于网络的恶意代码感染迹象? 1、当你运行该文件时,会发生何种现象?
恶意代码分析实战》第6章 识别汇编中的C代码结构(课后实验Lab 6)
qq_43443410的博客
08-03 461
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第6章 识别汇编中的C代码结构(实验)Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个程序的目的是什么?Lab 6-2:分析在文件Lab06-02.exe中发现的恶意代码。2.1 main函数调用的第一个子过程执行了什么操作?2.2 位于0x40.
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1613
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1850
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战 Lab 6-1 习题笔记
isinstance的博客
09-12 2295
Lab 6-1问题1.在main函数调用的唯一子过程中发现的主要代码结构是什么?解答: 我们照着书中的步骤走一遍先静态分析一下然后我们会发现这个WININET.DLL的导入有个函数InternetGetConnectedState,然后我们查询一下MSDN的说明这是用于检测本地系统的连接状态的这个函数会主要有这么几个值选项有LAN方式,也有MODEM拨号方式,还有OFFLINE不在线状态,到此我们大
《C++20设计模式》学习笔记-第6章适配器模式学习代码
02-06
《C++20设计模式》学习笔记-第6章适配器模式学习代码
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
最新发布
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3554
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
实验四 恶意代码技术
weixin_34168880的博客
10-29 75
学号 201421430038 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 江傲 年级 2014级 ...
恶意代码分析实战实验Lab 6-2
m0_37442062的博客
05-06 317
Lab 6-2静态分析动态分析1.由main函数调用的第一个子过程执行了什么操作?2.位于`0x40117F`的子过程是什么?3.被mian函数调用的第二个子过程做了什么?4.在这个子过程中使用了什么类型的代码结构?5.在这个程序中有任何基于网络的特征的指示吗?6.这个恶意代码的目的是什么?参考 静态分析 使用IDA pro查看字符串 有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1068
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
恶意代码分析实战(7-01实验学习笔记
Wings
04-27 2230
分析这个代码开始,先查看它的导入表 00404000 CreateServiceA ADVAPI32 创建一个服务进程,增加到服务控制器 00404004 StartServiceCtrlDispatcherA ADVAPI32 连接服务控制器线程,能够控制该线程 00404008 OpenSCManagerA
恶意代码分析实战 Lab 5-1 习题笔记
isinstance的博客
09-06 5907
Lab 5-1问题1.DllMain的地址是什么?解答: 这个我们用IDA Pro打开来查找,因为最新的IDA Pro不支持我们运行病毒那个虚拟机的版本(xp pro 32),所以下面的分析都是在win7上的打开IDA Pro之后就会提示你是否打开一个叫proximity browser的东西,然后打开这个东西就可以看到DllMain的位置如果没有跳出来,这里可以点开这个窗口然后右键选择Text v
恶意代码分析实战》实验——Labs-06
草草君
09-28 642
恶意代码分析实战》实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战》实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
恶意代码分析实战 Lab 6-3 习题笔记
isinstance的博客
09-19 1204
Lab 6-3问题1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?解答: 我们也是先跟着书走一遍先静态分析(基本都是静态分析)可以清楚的看到,这个函数有创建文件夹(目录)的能力,还有删除一个文件,复制一个文件的能力和Lab 6-2一样,也有打开一个URL的并从里面读取文件的能力然后我还会发先,这个函数有打开一个注册表和设置值的能力然后我们查看一下字符串有那些
恶意代码分析实战 Lab 11-2 习题笔记
isinstance的博客
04-25 1318
问题 题目提示是: 假设一个名为Lab11-02.ini的可疑文件与这个恶意代码一同被发现 我们这次把分析过程放在上面 我们还是一样的先做一些静态的分析 这里有一个我们以前没见过的函数叫CreateToolhelp32Snapshot 这个函数在MSDN里面的定义是这样的 获取指定进程的快照, 以及这些进程使用的堆、模块和线程 书中对这个导入函数的解释是 搜...
Lab 6-3
bangren3304的博客
01-14 235
In this lab, we’ll analyze the malware found in the file Lab06-03.exe. Questions and Short Answers Compare the calls in main to Lab 6-2’s main method. What is the new function called from main? ...
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1302
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值