学习笔记-第十八章 恶意代码分析实战

最新推荐文章于 2023-01-25 18:05:39 发布
最新推荐文章于 2023-01-25 18:05:39 发布
阅读量644 收藏 2
点赞数
分类专栏: malware analysis 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/89141706
版权
本文档详细记录了第十八章关于恶意代码分析中的加壳和脱壳实验过程。通过分析五个不同程序,分别揭示了脱壳后的原始程序对应,如18-01对应14-01,18-02对应7-02等。在实验中,使用了IDA进行静态分析,OLLYdbg进行动态调试,包括恢复导入表、查找程序入口点和ESP突变等技术,以确定并修正OEP。
摘要由CSDN通过智能技术生成

第十八章 加壳和脱壳

加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。
1.剖析加壳 
	恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。
	要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳
	器的工作原理。
	
	所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可
	执行文件经过压缩,加密或者其他转换,目的是使它们难以被识别,难以被逆向工程分析。
	
	多数加壳器用压缩算法压缩原始文件。设计加壳器的目的是让程序难以分析,加壳器通过加
	密原始可执行文件并且实施一些反逆向技术实现,如对抗反汇编,反汇编和反虚拟机等等。
	
	要保持原程序功能,加壳程序需要存储程序中的导入函数表信息。这些信息可以用任何格式
	存储,它们之间有几个共同的策略,重构程序的导入函数表是以恶具有挑战性且费时的操作,
	但这对分析程序功能十分必要。
	
	<1> 脱壳存根。 执行了以下三个步骤:
		[1].将原始程序脱壳到内存中
		[2].解析原始可执行文件的所有导入函数。
		[3].将可执行程序转移到原始的程序入口点(OEP)Original Entry Point
	<2> 加载可执行文件 当加载一个标准的可执行文件时,加载器会首先读取硬盘上可执行文件的
	PE头部信息,然后根据PE头部信息为可执行文件的各个节分配内存。然后,加载器将这些节复
	制到分配的内存空间中。
	
	<3> 解析导入函数表
	<4> 尾部跳转 一旦脱壳存根完成脱壳,他就必须转到OEP运行。转到OEP的指令通常被叫做尾部
	跳转指令。jump指令是最简单且最流行的转移指令。多数恶意的加壳程序试图使用ret或者call指令
	来隐藏这种行为。有时,恶意代码会使用操作系统转移控制的函数来掩盖尾部
最低0.47元/天 解锁文章
浅夜。
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十八.基于机学习恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机学习恶意代码检测技术,主要参考郑师兄的视频总结,包括机学习概述与算法举例、基于机学习方法的恶意代码检测、机学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机学习恶意代码检测技术,基础性文章,希望对
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1497
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战》读书笔记 静态分析高级技术一
weixin_30709061的博客
05-28 161
本书第三章是动态分析的入门,对进行动态分析最基本的工具和方法进行了简述。 第四章 x86反汇编速成班 1. 内存 有四个重要的节 数据:静态值,在程序初始加载时被放在这里,在程序运行时他们可能并不发生变化,也称全局值。 代码:包含在执行程序任务时CPU所取得的指令,这些代码决定了程序做什么以及程序任务如何协调工作。 堆:为程序执行期间需要的动态内存准备的,用于创建(分配)/消除值。 栈:用于...
恶意代码分析实战Lab18
ACdream
08-06 545
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -&gt; dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -&gt; Dwi...
恶意代码分析实战》读书笔记 入门与基础
weixin_30662109的博客
04-08 160
本书前三章是对简单的恶意代码静态分析基础技术的概述,是分析恶意代码学习的入门。 第零章 恶意代码分析技术入门 第一章 静态分析基础技术 1. 字符串Strings 存储形式:ASCII或Unicode - ASCII 每个字符1字节 - Unicode 每个字符2字节 Strings搜索程序:忽略上下文和格式,从整个文件检测可打印字符串。 用户:过滤无效字符串,通过有...
恶意代码分析实战学习之windows基础
xlsj雪松的博客
06-11 561
1、黑客 Windows API Windows 是一个很大的服务心,调用这个服务心的各种服务(每一种服务就是一个函数),可以帮应用程式达到开启视窗、描绘图形、使用周边设备等目的,由于这些函数服务的对象是应用程序(Application), 所以便称之为 Application Programming Interface,简称 API 函数。 常见Windows API类型 2、句柄...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 924
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 &lt;1&gt;图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
《机学习实战:基于Scikit-Learn、Keras和TensorFlow第2版》-学习笔记(1)
Morganfs的博客
04-08 1611
《机学习实战:基于Scikit-Learn、Keras和TensorFlow第2版》 - 第一章:机学习概览,学习内容 Hands-On Machine Learning with Scikit-Learn, Keras, and TensorFlow, 2nd Edition, by Aurélien Géron (O'Reilly). Copyright 2019 Aurélien Géron, 978-1-492-03264-9.
恶意代码分析实战 18 64位
农夫果园好好喝的博客
01-25 817
当你运行这个程序却没带任何参数,它会立即退出。main函数有三个参数入栈,分别是一个整数和两个指针。main函数位于0x00000001400010C0处。你可以通过寻找接受一个整数与两个指针作为输入参数的函数调用定位main函数。字符串oc1.exe存储在栈。这里对字符串进行了检查,如果在不改变二进制程序文件名的前提下,让这个程序运行。为了不修改可执行程序的文件名就能让这个程序运行有效载荷,你需要修补在0x0000000140001213处的jump指令,将其替换为NOP指令。
《恶意软件分析与检测》读书笔记
weixin_40827685的博客
01-03 338
《恶意软件分析与检测》 王俊峰 第一章:二进制可执行文件 第二章:检测基础 集成学习:产生多个独立决策的分类,按照某种策略组合这些分类来解决同一个问题。 第三章:加壳技术 加壳:可执行程序资源的压缩和加密。在执行时,踩在内存还原。壳:附加在软件内的一段代码。防止外部程序加壳程序进行反汇编分析或动态分析加壳工具可以分成压缩壳和保护壳。 压缩壳:对程序压缩 保护壳:使用加密算法以及一些技术(反调试、抗反汇编,代码混淆等)防止程序被调试...
恶意代码分析实战 第十八章课后实验
Stronger_99的博客
05-04 483
Lab18-01.exe 首先使用peid进行查壳: 这是一个UPX壳。 下面进行脱壳操作: 将实验文件载入OD: 可以看到一开始进来就来到了这个位置,这个很明显不是OEP,那么就来找一下,最常用的方法就是查找尾部跳转指令。通常情况下,它会是在一段无效字节前的jmp指令: 可以看到409F43就是这个尾部跳转指令,先下断点然后执行,取消断点在步过。 然后就来到了这...
恶意代码分析实战Lab1602
ACdream
07-14 324
感觉这个程序原来分析过一次,很相似 目的是得到一个长度为4的pw IDA逻辑非常清晰,在CreateThread对数据byte_408030进行修改 然后v5作为判断标志 在这儿下断看数据就好~ (然后用OD下断看不到,结合本章知识点猜想是有反调试的手段) 在函数TlsCallBack里发现了这个: 在字符串里找到了这个:如果改下字符串的话,是不是可...
恶意代码分析实战—第18章加壳与脱壳
weixin_41487541的博客
03-15 667
脱壳存根 被加壳程序的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节。 脱壳存根执行了以下三步操作: 1. 将原始程序脱壳到内存; 2. 解析原始可执行文件的所有导入函数; 3. 将可执行程序转移到原始的程序入口点(OEP)。 尾部跳转 一旦脱壳存根完成脱壳,他就必须转到OEP运行。转到OEP的指令通常被叫做尾部跳转指令(jmp、ret、call)。 书对于脱壳
书评第004篇:《恶意代码分析实战
Gleam的专栏
12-11 3438
随便在哪家网上书城进行搜索可以知道,在计算机安全类,特别是恶意代码分析领域的书籍可谓是凤毛麟角。如果哪位读者对于恶意代码分析有浓厚的兴趣,要么是去一些大型的安全类论坛看他人的分析报告,要么是在众多的安全类书籍,东找一点西凑一点地进行学习。这也就说明了市面上确实少有专门针对于恶意代码分析的,以实战为主的书籍。而对于我这样的初学者而言,由于我希望成为一名反病毒工程师,因此我特别想能够阅读到在安全领域有着丰富经验的大牛的作品。而现实的大牛往往很忙,大部分也不愿意将自己的经验记录下来。于是这就出现了学习的瓶颈,
恶意代码分析实战》第7章 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 1637
  一名网络空间安全专业学生学习本书过程记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7章 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
恶意软件分析实战16-逆向Lab7-3
輚至消亡
09-28 330
该实验包含2个文件, 一个是Lab07-03.exe, 另一个是Lab07-03.dll 双双没加壳: 先把exe文件拖入VT内: 发现如下, 大体猜测一下是搜索某个文件然后将找到后拷贝之类的操作。 查看一下dll文件的情况: 来看看具体的 首先进去后对比命令行参数是否为2个,不是则退出。对比参数是否为"WARNING_THIS_WILL_DESTROY_YOUR_MACHINE",如果不是则退出。 拖入OD,把该字符串作为参数传入 由于我们...
恶意代码分析实战 15 加壳与脱壳
农夫果园好好喝的博客
01-25 513
分析样本Lab18-01.exe到Lab18-05.exe。
R语言实战笔记--第九章 方差分析
最新发布
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值