学习笔记-第七章 恶意代码分析实战

最新推荐文章于 2023-04-25 10:52:40 发布
最新推荐文章于 2023-04-25 10:52:40 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88557365
版权

第七章

1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。
	<1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles
	<2> 句柄 比如一个窗口,模块,菜单,文件等等
	<3> 文件系统函数
	<4> 特殊文件
2.Windows 注册表 注册表用来保存操作系统与程序的配置信息,比如设置和选项。和文件系统一样,它是基于主机感染的很好来源,并且能够揭示出关于恶意代码功能的有用信息。
	<1> 根键	HKLM HKEY_LOCAL_MACHINE 保存本机机器全局设置
	<2>			HKCU HKEY_CURRENT_USER 保存当前配置
	<3>			HKEY_CLASSES_ROOT 保存定义的类型信息
	<4>			HKEY_CURRENT_CONFIG 保存关于当前硬件的配置设置,特别是与当前和配置标准之间不同的部分。
	<5>			HKEY_USERS 定义默认用户,新用户和当前用户的配置
	自启动程序。向run子键写入项。常见的注册表函数。RegOpenKeyEx,RegSetValueEx,RegGetValue
	使用.reg文件的注册脚本,很少有病毒使用

3.网络API
	伯克利兼容套接字。Windows网络选项中最普遍使用的是伯克利兼容套接字,它们的功能在Windows和
	Unix系统上几乎是一样的。
	伯克利兼容套接字在网络功能和Windows系统中是由winsock库实现的,主要在ws2_32.dll中。在所有
	库函数中,socket,connect,bind,listen,accept,send,recv函数是最常用的。
	socket	创建一个套接字
	bind		将一个套接字绑定到特定端口
	listen	预示一个套接
最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
恶意代码分析实战_05 IDA Pro
kitsch0x97的博客
05-10 934
当IDA Pro对一个程序进行初始反汇编时,字节偶尔会被错误地分类,代码可能被定义为数据,数据也可能被定义为代码。在反汇编窗口中最常用地重新定义代码地方式,是按U键来取消函数、代码或数据的定义。当你取消代码定义时,后续字节会被重新格式化为一个原始字节列表。可以按C键定义原始字节为代码,按D键定义原始字节为数据,按A键定义原始数据为ASCII字符串。
恶意代码分析-第五章-IDApro
每昔的博客
07-30 712
设置 Options - General,选择Line prefixes并设置Number of Opcode Bytes 为6.可以看到16进制代码 Options - General,选择Auto comments,IDA帮助注释 窗口 函数窗口:左拖拽,可以看到长度,以函数长度排序,过滤出规模大的函数 每个函数也关联了一些标志位(F,L,S)。L--库函数 名字窗口:函数名,命...
恶意代码分析(一)
qq_41988448的博客
03-23 1224
病毒分析(一)样本来源样本概况分析环境分析步骤一、初步分析二、调试分析 样本来源 https://www.52pojie.cn/thread-1377686-1-2.html 样本概况 样本信息 Value 样本名称 免费外纪.exe 样本大小 4.62MB(4,853,850 Byte) MD5 bcfc56704ea9b62650bec0349532b7d7 SHA1 176fbfb56e401f1043532377c1b67bd207c32bb9 时间戳 28/10/2
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8809
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意代码分析技术
weixin_68789096的博客
04-25 978
恶意代码分析有两类方法:静态分析和动态分析。静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术。1)、静态分析技术基础技术静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码。2)、动态分析基础技术动态分析基础技术涉及运行恶意代码并观察系统的行为,以移除感染,产生有效的检测特征码,或者两者。
恶意代码分析实战07-01
Yale的博客
09-19 584
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题 Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留) Q2.为什么这个程序会使用一个互斥量? Q3.可以用来检测这个程序的基于主机特征是什么? Q4检测这个恶意代码的基于网络的特征是什么 Q5这个程序的目的是什么 Q6这个程序什么时候完成执行 先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数 ​ 比如上图的openscmanager和createService,starts
C++20设计模式学习笔记-第7章桥接模式学习代码
02-06
C++20设计模式学习笔记-第7章桥接模式学习代码
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
最新发布
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
恶意代码分析实战07-02
Yale的博客
09-19 4165
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战 Lab09-01(1)
wangtiankuo的博客
08-30 1871
分析报告: 1.     样本概况 病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。 1.1样本信息 病毒名称:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 病毒行为:这一篇只写有参数下
利用注册表实现持久化的恶意代码分析
writeP的博客
04-08 465
代码sha256:8ea59c1e3054bc49c2b358eb73ccb59e5e662499bbc97d727c308291b270e06d 文件类型:doc文档 恶意代码类型:vba 在此文档的vb脚本中再次生成了一个xsl的文件,利用Msxml2.XSLTemplate.3.0对其进行解析: xsl文件sha256:2946CA5BCB02F440634...
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9311
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 703
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战-启动一个恶意的DLL
weixin_30662109的博客
01-11 340
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以可以用run...
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 611
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析学习dll相关记录
weixin_30737433的博客
09-04 302
kernel32.dll 这是一个很常见的DLL,它包含核心系统功能,如访问和操作内存、文件和硬件,Kernel32.dl等等 Advapi32.dll 这个DLL提供了对核心Windows组件的访问,比如服务管理器和注册表这个 user.dll ...
恶意代码编写DLL实验
雩停
03-11 877
实验要求 编写一个DLL,并将其导出成函数,可被其他程序调用。 实验内容 本次实验使用环境为Visual Stadio 2017,打开VS 2017,新建项目 -> Visual C++ -> Windows桌面 -> Windows控制台应用程序,选择要保存的路径,并为项目命名(我将其命名为DLLpractice),点确定。 在项目目录下会生成许多文件,打开DLLpracti...
dll oem证书导入工具_恶意代码分析之反射型DLL注入
weixin_39963465的博客
11-29 120
01技术概要这是一种允许攻击者从内存而非磁盘向指定进程注入DLL的技术,该技术比常规的DLL注入更为隐蔽,因为除了不需要磁盘上的实际DLL文件之外,它也不需要任何Windows加载程序的辅助即可注入。这消除了将DLL注册为进程已加载模块的需求,从而可逃脱工具的监视。首先准备好测试dll使用VS2015先编译生成一个测试dll文件,作用是dll被进程附加的时候会执行MessageBox弹...
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值