学习笔记-第十一章 恶意代码分析实战

最新推荐文章于 2023-05-17 10:28:03 发布
最新推荐文章于 2023-05-17 10:28:03 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88657482
版权
这篇博客详细介绍了三个恶意代码分析实验,包括Lab11-01、Lab11-02和Lab11-03。实验涉及恶意代码的驻留方式、窃取用户凭证的手段、RootKit技术以及如何动态捕获恶意行为。通过分析,揭示了恶意代码如何在系统中隐藏并执行恶意操作。
摘要由CSDN通过智能技术生成

第十一章 恶意代码行为

//第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习
1.下载器和启动器
	下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包
	在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新
	的恶意代码。
	启动器(也称为加载器)是一类可执行文件,用来安装立即运行或者将来秘密执行的恶意代码。
	启动器通常包含一个它要加载的恶意代码。

2.后门
	backdoor是另一种类型的恶意代码,它能让攻击者远程访问一个受害的机器。后门是一种常见
	的恶意代码,它们拥有多种功能,并且以多种形式与大小存在。后门代码往往实现了全套功能,
	所以当使用一个后门时,攻击者通常不需要下载额外的恶意代码。
	
	后门程序利用互联网的通信方式是多样的,常用的方法是利用80端口使用HTTP协议。HTTP为
	恶意代码提供了和其他流量混淆的机会。
	
	后面拥有一套的通用功能,例如操作注册表,列举窗口,创建目录,搜索文件,等等
	(1)反向shell
	反向shell是从被感染机器上发起的一个链接,它提供攻击者shell访问感染机器的权限。反向
	shell或者作为一个单独的恶意代码存在,或者作为一个复杂后面程序中的组件而存在。在反向
	shell中,攻击者能够如同本地系统一样运行命令。
	
	netcat反向shell,windows反向shell
	
	(2)远程控制工具
	远程控制工具(RAT)被用来远程管理一台或多台计算机。远程控制工具经常为了特定目标,
	如窃取信息或者旁路一个网络执行针对性攻击。
	
	(3)僵尸网络
	是被感染主机的一个集合。它们由单一实体控制,通常由一个称为僵尸控制器的机器作为
	服务器。僵尸网络的目标是尽可能多的感染机器,构造更大的僵尸主机网络ÿ
最低0.47元/天 解锁文章
浅夜。
关注
专栏目录
分析恶意Windows程序
Hvnt3r的博客
03-24 964
知识点 多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。 **Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...
恶意代码Lab11-03分析
m1287578441的博客
06-08 422
恶意代码Lab11-03分析
恶意代码分析实战 Lab 10-2 习题笔记
isinstance的博客
02-24 2020
Lab 10-1 问题 1.这个程序创建文件了吗?它创建了什么文件? 解答: 我们依旧先从静态分析开始,这里我们在第一个导入DLL里面注意到的有趣的函数是这个WriteFile,说明这个代码会改变这个文件 然后我们看第二个导入DLL的函数有哪些 这里有几个我们已经见过好几次的函数,OpenSCManagerA是用来打开服务管理器的函数,StartServiceA是用来启动...
恶意代码分析实战11-3
Yale的博客
05-28 752
本次实验我们将会分析lab11-03.exe文件。先来看看要求解答的问题 Q1.使用基础的静态分析过程,你可以发现什么有趣的线索? Q2. 当运行这个恶意代码时,发生了什么? Q3. Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留? Q4.这个恶意代码感染Windows系统的哪个文件? Q5. Lab11-03.dll 做了什么? 先来看lab11-03.exe,在字符串窗口 看到inet_epar32.dll和net start cisvc。 Net start命令用于在wind
恶意代码分析实战11章实验
weixin_41487541的博客
03-04 3065
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1510
第12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1500
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 927
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1113
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1244
第13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 - 将恶意代码伪装成一个合法的...
恶意代码分析实战 Lab 11-3 习题笔记
isinstance的博客
06-11 1548
问题 分析恶意代码Lab11-03.exeLab11-03.dll 确保这两个文件在分析时位于同一个目录下 1. 使用基础静态分析过程,你可以发现什么有趣的线索? 解答:我们还是按照书上的步骤走一遍 我们想做基本的静态分析 我们查看Lab11-03.exe的导入函数,这里我们会看到,从KERNEL32.DLL中导入了这些函数,其中几个被标黄的比较有趣,比如这个Compar...
2018-2019-2 网络对抗技术 20165217 Exp4 恶意代码分析
diaominduo4849的博客
04-07 266
实验目的 监控你自己系统的运行状态,看有没有可疑的程序在运行。 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。 实践内容概述 系统运行监控 ...
恶意代码行为
Hvnt3r的博客
03-24 3258
知识点 本章中会介绍恶意代码常见的恶意行为,方便我们识别各种各样的恶意程序。 **下载器和启动器:**常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码,然后在本地系统中运行,通常使用WindowsAPI函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码。启动器也成为加载器,是一类可执行文件,用来安装立即运行或者将来运行的恶意代码。 **后门:*...
恶意代码分析实战Lab1102
ACdream
05-08 212
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析及防治研究
qq_58320839的博客
05-16 449
关于恶意代码的防治手段应基于有效的分析结果而制订,并在不断发展,使之更具威慑力,并能针对日益复杂化的威胁作出回应。这就给未来防治恶意代码提供了一种新思路——通过研究最前沿的技术并将其组合,可以在未来对日益增长的网络威胁发起更有效、更全面和更快速的控制,并提供管理更多样化的消除恶意代码系统。(3)木马(Trojan Horse):木马是指伪装成无害程序但实际上包含恶意代码的软件,通过欺骗用户安装、运行及提供技术支持等手段攻击并掌控系统,开启漏洞隙缝逐步窃取、毁坏关键数据,甚至给攻击者反向控制的权限。
恶意代码分析及防治
qq_15156019的博客
05-17 1774
恶意代码分析及防治
一个DDOS木马后门病毒的分析
liujiayu2的专栏
10-25 1580
http://blog.csdn.net/qq1084283172/article/details/49305827 一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038
一个DDOS病毒的分析(一)
weixin_30355437的博客
06-17 258
一、基本信息 样本名称:Rub.EXE 样本大小:21504字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1:BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成: 病毒母体...
R语言实战笔记--第九章 方差分析
最新发布
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log(x)) var ... [-1],data=dataframe 其中,Y代表因变量,x代表自变量,a代表指数,var代表其他可能对模型有影响的变量。lm函数可以拟合回归模型并提供相关分析结果。 在方差分析中,还需要进行数据诊断,以确保模型的可靠性。其中几个重要的诊断包括异常观测值、离群点和高杠杆值点。异常观测值对于回归分析来说非常重要,可以通过Q-Q图和outlierTest函数来检测。离群点在Q-Q图中表示落在置信区间之外的点,需要删除后重新拟合并再次进行显著性检验。高杠杆值点是指在自变量因子空间中的离群点,可以通过帽子统计量来识别。一般来说,帽子统计量高于均值的2到3倍即可标记为高杠杆值点。 此外,方差分析还需要关注正态性。可以使用car包的qqplot函数绘制Q-Q图,并通过线的位置来判断数据是否服从正态分布。落在置信区间内为优,落在置信区间之外为异常点,需要进行处理。还可以通过绘制学生化残差的直方图和密度图来评估正态性。 综上所述,R语言实战第九章介绍了方差分析及其相关的数据诊断方法,包括异常观测值、离群点、高杠杆值点和正态性检验。这些方法可以用于分析数据的可靠性和模型的适应性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [R语言实战笔记--第八章 OLS回归分析](https://blog.csdn.net/gdyflxw/article/details/53870535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值