恶意代码分析实战 --- 第一章 静态分析基础技术

最新推荐文章于 2024-07-24 18:02:21 发布
最新推荐文章于 2024-07-24 18:02:21 发布
阅读量721 收藏 2
点赞数 4
分类专栏: 逆向分析 恶意代码分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/116865010
版权
这篇博客详细记录了恶意代码分析的过程,包括使用VirusTotal进行扫描,识别加壳技术如UPX和FSG,通过导入函数推测程序功能,如创建服务、网络连接和文件操作。此外,还提到了基于主机和网络的感染迹象,如特定文件创建、URL流量和PE资源。博主强调了静态分析的步骤,并提到未来计划分享脱壳技术和更多分析技巧。
摘要由CSDN通过智能技术生成

记录一下恶意代码分析实战的课后习题。

Lab1-1

1.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
能够看到很多杀软都报毒了,但是好像看不出报的是什么类型的病毒。
在这里插入图片描述
2.这些文件是什么时候编译的?
Lab01-01.exe创建时间:2010-12-20/00:16:19
Lab01-01.dll创建时间:2010-12-20/00:16:38
应该是同时创建的.
在这里插入图片描述
在这里插入图片描述
4.是否有导入函数显示出这个恶意代码是做什么的?如果是,是哪些导入函数?
Lab01-01.exe存在很多文件查找、复制的功能
在这里插入图片描述
Lab01-01.dll中Sleep和CreateProcessA可能是后门程序。下面还有一些网络连接的函数
在这里插入图片描述
5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
label01-01.exe会创建“C:\Windows\System32\Kernel32.dll”文件名很容易让人以为是正常的文件Kernel32.dll,人眼容易看错的。
在这里插入图片描述
6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
Label01-01.dll中存在一个ip·127.26.152.13(内网ip)是攻击者的ip
在这里插入图片描述
7.这些文件的目的是什么?
猜测Label01-01.exe主要用于将Label01-01.dll复制到“C:\Windows\System32\Kernel32.dll”
Label01-01.dll的功能主要是连接远程攻击者服务器,接受指令并创建相应进程。

Lab1-2

1.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
显示upx加壳,并且可能是下载器。用StudyPE的段也表明是UPX加壳。
在这里插入图片描述
在这里插入图片描述
3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
CreateService会创建服务对象。InternetOpenUrl会通过url连接资源

CreateService是一个创建一个服务对象,并将其添加到指定的服务控制管理器数据库的函数。
SC_HANDLE CreateServiceA(
  SC_HANDLE hSCManager,
  LPCSTR    lpServiceName,
  LPCSTR    lpDisplayName,
  DWORD     dwDesiredAccess,
  DWORD     dwServiceType,
  DWORD     dwStartType,
  DWORD     dwErrorControl,
  LPCSTR    lpBinaryPathName,
  LPCSTR    lpLoadOrderGroup,
  LPDWORD   lpdwTagId,
  LPCSTR    lpDependencies,
  LPCSTR    lpServiceStartName,
  LPCSTR    lpPassword
);
StartServiceCtrlDispatcherA:将服务进程的主线程连接到服务控制管理器,这使得线程成为调用进程的服务控制调度程序线程。
BOOL StartServiceCtrlDispatcherA(
  const SERVICE_TABLE_ENTRYA *lpServiceStartTable
);
InternetOpenUrl:通过FTP或者http url打开资源
void InternetOpenUrlA(
  HINTERNET hInternet,
  LPCSTR    lpszUrl,
  LPCSTR    lpszHeaders,
  DWORD     dwHeadersLength,
  DWORD     dwFlags,
  DWORD_PTR dwContext
);
InternetOpen:初始化一个应用程序来使用WinNet函数
void InternetOpenA(
  LPCSTR lpszAgent,
  DWORD  dwAccessType,
  LPCSTR lpszProxy,
  LPCSTR lpszProxyBypass,
  DWORD  dwFlags
);

4.有哪些基于主机或基于网络的痕迹,可以用来确定被这个恶意代码所感染的机器?
有一个URL:http://www.malwareanalysisbook.com。可以通过与该URL的流量来确定是否被感染。
在这里插入图片描述

Lab1-3

1.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
FSG加壳。
在这里插入图片描述
利用OD插件ollydump进行脱壳
在这里插入图片描述
在这里插入图片描述
3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
有一个网页链接:http://www.malwareanalysisbook.com/ad.html 。下面应该是初始化一个ole COM对象,具体有什么用也不是很清楚。
在这里插入图片描述

OleInitialize是一个Windows API函数。它的作用是在当前单元(apartment)初始化组件对象模型(COM)库,
将当前的并发模式标识为STA(single-thread apartment——单线程单元),
并启用一些特别用于OLE技术的额外功能。除了CoGetMalloc和内存分配函数,
应用程序必须在调用COM库函数之前初始化COM库。
HRESULT OleInitialize(
  LPVOID pvReserved
);
CoCreateInstance 用指定的类标识符创建一个Com对象,用指定的类标识符创建一个未初始化的对象
HRESULT CoCreateInstance(
  REFCLSID  rclsid,
  LPUNKNOWN pUnkOuter,
  DWORD     dwClsContext,
  REFIID    riid,
  LPVOID    *ppv
);
The variant to initialize.
void VariantInit(
  VARIANTARG *pvarg
);

Lab1-4

1.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
报毒,有一个报了下载器
在这里插入图片描述
3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
前面三个API和程序权限相关。后面WinExec用来执行可执行文件,并且有资源的相关操作。
在这里插入图片描述
5.有哪些基于主机或基于网络的迹象,可以用来确定被这个恶意代码感染的机器?
wupdmgr.exe、winup.exe这两个文件比较可疑。 psapi.dll是Windows系统进程状态支持模块。
在这里插入图片描述
6、这个文件在资源段中包含一个资源。用ResourceHacker工具来检查资源?
很明显包含了一个PE文件。
在这里插入图片描述
分析一下保存的resource.bin。明显是个下载器,从http://www.practicalmalwareanalysis.com/updater.exe下载保存为winup.exe和wupdmgrd.exe
在这里插入图片描述
在这里插入图片描述

总结

静态分析恶意程序的简单步骤

  1. 可以先用在线网站进行检查,是否与已存在的恶意程序相同。如果相同,可以查看相关的文档和博客
  2. 如果程序已经加壳需要对程序进行脱壳
  3. 查看文件的导入和导出,猜测大概功能(文件遍历、注册表修改、互斥体创建、网络连接、进程创建、资源释放)
  4. 查看字符串,释放有敏感字符(url、文件名、某些库的语句)
  5. 对程序进行分析

先挖个坑,之后有空把常见脱壳办法记录一下。VMP也学一下。

努力学习的大康
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1336
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
恶意代码分析实战》--第一章静态分析基础技术
I have a dream
09-13 1969
**请参考大神的链接:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程** 2、用PEtools打开,查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒 4,用dependency walker工具打开 ...
病毒分析工具和使用方法(二)——分析方法
lirunling的博客
12-05 5105
所有可疑文件的分析都是在虚拟机中进行的,虚拟机中内置了病毒分析所要用到的各类工具和软件(各类工具详见上一篇博客),根据可疑文件分析的一般流程,对文件进行分析,得出分析结论。 上传漏洞平台检测 分析一个可疑文件时,第一步就是上传该文件到开源的病毒检测平台进行检测,病毒库收录了数量庞大的已经提交过的病毒文件,当上传可疑文件时,检测平台会计算文件的md5或hash值,与收录在库中的文件进行对比,...
全方位安全守护:探索谷歌Chronicle旗下VirusTotal的免费在线检测服务
最新发布
qq_40025179的博客
07-24 951
通过这些多家安全厂商的合作,VirusTotal提供了强大的多引擎扫描能力,能够更全面和准确地检测和分析潜在的安全威胁,帮助用户防范各类网络攻击。这个工具利用Google Cloud的Sec-PaLM大语言模型(LLM)进行代码分析,生成自然语言的代码片段摘要,从而帮助安全专家和分析师更深入地理解代码的目的和操作。独立分析:Code Insight独立于传统的防病毒引擎,通过仅分析文件内容,而不依赖其他元数据(如防病毒结果),提供更精确的分析。这个密钥将用于你的 API 请求中,以验证你的身份。
恶意代码分析实战
博文视点(北京)官方博客
05-28 7871
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1500
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1203
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1244
第13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 - 将恶意代码伪装成一个合法的...
恶意代码分析实战第0+1章学习-恶意代码分析入门+静态分析基础
m0_37442062的博客
11-04 573
恶意代码分析通用规则 1.不要过于陷入细节。大多数恶意程序会是庞大而复杂的,你不可能了解每一个细节。你需要关注最关键的主要功能。当你遇到了一些困难和复杂的代码段后,你应该在进入到细节之前有一个概要性的了解。 2.其次,请记住对于不同的工作任务,可以使用不同的工具和方法。这里没有一种通吃的方法。每一种情况是不同的,而你将要学习的各种工具和技术将有类似的,有时甚至重叠的功能。如果你在使用一个工具...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 647
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 212
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1190
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 420
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 974
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 477
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值