学习笔记-第十二章 恶意代码分析实战

最新推荐文章于 2023-06-22 14:58:28 发布
最新推荐文章于 2023-06-22 14:58:28 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88775374
版权
本章深入探讨隐蔽的恶意代码启动,通过实验Lab12-1至Lab12-4分析不同样本的恶意行为。内容包括恶意代码注入explorer.exe,资源节中的加密代码,键盘记录器的实现,以及对winlogon.exe的远程注入等。实验揭示了恶意程序如何保护自身,逃避检测并篡改系统文件。
摘要由CSDN通过智能技术生成

第12章 隐蔽的恶意代码启动

1.启动器
	启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。
	启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。
	启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。
	正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的
	组成代码。正常资源节的内容包括图标,图片,菜单,以及字符串。启动器通常在资源节存储恶意
	代码,当启动器运行时,它在运行嵌入可执行程序或者DLL程序之前,从资源节将恶意代码提取出来。
	
	恶意代码启动器通常需要管理员权限运行,或者通过提取拥有这些权限。普通的用户进程不能执行
	我们本章讨论的技术。

2.进程注入
	隐藏启动最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,
	而被注入的进程会不知不觉的运行注入的代码。恶意代码编写者通过进程注入技术隐藏代码的行为,
	有时他们也试图使用通过进程注入技术绕过基于主机的防火墙和那些针对进程的安全机制。
	
	某些Windows api通常被用来执行进程注入。例如,virtualAllocEx函数用来在另外一个进程中分配
	一块内存空间。writeProcessMemorty函数用来向virtualAllocEx函数分配的地址空间写数据。
	
	1.DLL注入,DLL注入是进程注入的一种形式,强迫远程进程加载恶意DLL程序,同时它也是最常
	使用的秘密加载技术。DLL注入代码将代码注入到一个远程进程,并让远程进程调用loadLibrary,
	从而强制远程进程加载一个DLL程序到它的进程上下文。一旦被感染的进程加载了恶意代码,操作
	系统就会自动地调用DLLMain函数,DLLMai'n函数由DLL作者编写。
	
	2.直接注入,同DLL
最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1352
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 1122
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码系列】五、处理恶意代码主要步骤及总结
Purpleendurer@CSDN
06-07 3012
 信息源:瑞星社区 作者:hotboy    探测和分析    1 根据具体的情况决定处理的顺序     1.1 确定被感染的设备和资源,预测哪些设备和资源将会被感染     1.2 从技术的角度评估恶意代码目前和潜在的影响     1.3 根据技术方面的影响以及受影响的资源,根据网络矩阵优先级选择合适的单元     2 发送病毒通告给局域网中相关人员和外网中的相关组织或单位    封锁,杀除和恢
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8179
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
恶意样本分析流程记录
weixin_42877778的博客
01-15 3023
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
恶意代码静态分析
qq_36386435的博客
02-27 6187
一、传统检测方法 1. 基于恶意代码的特征码作为检测 特征值的提取选择具体如下:(1) 特定子串:从计算机病毒体内提取、为病毒所特有的特征串。如特定提示信息,特定签名信息等。例如大麻病毒的提示为:“Your PC is now stoned”等。 (2) 感染标记:病毒为避免重复感染而使用的感染标记。如黑色星期五的“suMs DOS”。 (3) 从病毒代码的特定地方开始取出连续的、不大于64且不含空格(ASCII值为32)的字节串。同时,所提取的特征需要避免和正常的软件雷同,否则.
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1178
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
《C++20设计模式》学习笔记-第12章代理模式-配套代码
02-22
《C++20设计模式》学习笔记-第12章代理模式-配套代码
Eclipse插件开发学习笔记-源代码1至24章.zip
04-09
第九章至第十二章可能涉及到透视图(Perspective)和工作区(Workspace)的管理,学习如何创建自定义透视图,调整工作区设置,以及与其他Eclipse功能如项目、资源等进行交互。 第十三章至第十六章可能会涉及插件的...
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
恶意代码分析实战学习——静态分析
xlsj雪松的博客
06-06 3558
1.基础分析 2.详细介绍 2.1 指纹探测 恶意代码指纹探测技术有很多种,常见的有hash值探测、流量统计指纹、纹理指纹探测、图像指纹探测、动态行为指纹...... (1)hash值检测方法比较方便,但效率低。恶意程序稍微修改一下程序流程或加个免杀,就会产生不同的hash值。 (2)流量统计指纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用...
Windows 系统文件保护(续)
都市夜猫的专栏
08-07 1169
研究了一晚上,发现:第一种方法并不容易实现,而且过程繁琐第二种方法可以实现,但由于需要采用远程注入的方式来调用未公开函数 SfcTerminateWatcherThread(sfc_os.dll 中序号为 2,此函数必须在 WinLogon 进程内调用才生效),这样就存在一个限制,因为要调用 CreateRemoteThread 在 WinLogon 进程空间内创建远程线程,而这个功能会被很多病毒
恶意代码分析实战第12章实验
weixin_41487541的博客
03-04 486
Lab 12-1 首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。 IDA打开Lab12-01.exe分析,程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。 接下来获取Lab12-01.dll所在的完全路径,并将路径存
清扫盲区:恶意代码基础解析
VN520的博客
04-25 808
恶意代码(Malicious code)或者叫恶意软件Malware(Malicious Software)具有如下共同特征:(1) 恶意的目的(2) 本身是程序(3) 通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
恶意代码分析实战12-04
Yale的博客
09-20 797
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码编写DLL实验
雩停
03-11 882
实验要求 编写一个DLL,并将其导出成函数,可被其他程序调用。 实验内容 本次实验使用环境为Visual Stadio 2017,打开VS 2017,新建项目 -> Visual C++ -> Windows桌面 -> Windows控制台应用程序,选择要保存的路径,并为项目命名(我将其命名为DLLpractice),点确定。 在项目目录下会生成许多文件,打开DLLpracti...
网络安全实验九 恶意代码实验
qq_64314976的博客
06-22 1176
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5543
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
R语言实战笔记--第九章 方差分析
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值