恶意代码分析实战 --- 第三章 动态分析基础技术

最新推荐文章于 2024-05-13 20:19:25 发布
最新推荐文章于 2024-05-13 20:19:25 发布
阅读量785 收藏 4
点赞数 1
分类专栏: 恶意代码分析 逆向分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/116902471
版权

Lab 3-1

1.找出恶意代码的导入函数与字符串列表
导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名
在这里插入图片描述
在这里插入图片描述
2.这个恶意代码在主机上的感染迹象特征是什么?
3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络)
写了一个文件到C:\WINDOWS\System32\vmx32to64.exe中。并新建注册表项为HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver 值为C:\WINDOWS\system32\vmx32to64.exe
在这里插入图片描述
在fakenet中可以看到通过DNS查询www.practicalmalwareanalysis.com。
本机上的感染迹象为C:\WINDOWS\System32\vmx32to64.exe和注册表
网络感染迹象为与www.practicalmalwareanalysis.com的网络流量
在这里插入图片描述

Lab 3-2

1.怎么让恶意代码自动安装?2.安装之后如何让恶意代码运行
导入函数有很多注册表操作,创建新进程,注册服务,http操作
在这里插入图片描述
字符串中有一些注册表目录,创建服务的提示
在这里插入图片描述
导出函数有install和uninstall函数
在这里插入图片描述
在安装Lab03-02.dll之前先运行Regshot,安装之后查看修改的reg

rundll32.exe Lab03-02.exe,installA

查看修改的注册表可知添加了一个IPRIP服务
在这里插入图片描述
3.怎么找到恶意代码是在哪个进程下运行
4.procmon工具中设置什么样的过滤器,才能收集到这个恶意代码的信息?
在Process Explorer在Find 查找“Handler or DLL”可以看到svchost.exe的PID为1060下面有Lab03-02.dll,查看程序下面的DLL也能看到病毒dll
在这里插入图片描述
在这里插入图片描述
查看FakeNet的记录,有一条practicalmalwareanalysis.com的查询DNS记录。同时还有一条practicalmalwareanalysis.com/serve.html的get请求
在这里插入图片描述
在process monitor中第一步可以设置PID=1060,path可以设置为contains IPRIP或者是Lab03-02.dll
在这里插入图片描述

5.这个恶意代码在主机上感染的迹象特征是什么?
主机上的感染迹象特征为注册表存在IPRIP服务。
6.这个恶意代码是否存在一些有用的网络特征码?
会GET请求serve.html。

Lab 3-3

1.Process Explorer工具进行监视时,发现了什么?
用IDApro查看导入函数,可以看到很多resource、file相关api。用ResourceHack查看,感觉是一些shellcode.
在这里插入图片描述
在这里插入图片描述
2.可以找到任何内存修改行为吗?
3.这个恶意代码在主机上的感染迹象特征是什么?
4.这个恶意代码的目的是什么?
程序会一闪而过,process Explore能够看到有启动svchost.exe。并且最后也出现了以恶搞svchost.exe。查看内存string和文件的String,发现已经发生了变化,内存中出现了practicalmalwareanalysis.log和一些键盘的指令,猜测可能是键盘记录器。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用上一步找到的PID来过滤,processmonitor在中可以看到了很多文件操作,同一个目录中存储了键盘记录。
在这里插入图片描述
在这里插入图片描述

Lab 3-4

1.当你运行这个文件时,会发生什么
导入表存在Service相关的api,注册表api,文件相关api,http相关api。字符串包含了http://www.practicalmalwareanalysis.com
运行程序以后,程序被删除了。
在这里插入图片描述
在这里插入图片描述
2.是什么造成了动态分析无法有效实施
运行程序只有一个参数时会执行cmd.exe /c del 文件路径
在这里插入图片描述
3.是否有其他方式来运行这个程序
简单分析一下,程序可以有4种参数-in -re -c -cc并且最后一个参数为abcd.
例如:Lab03-04.exe -in abcd就能正常运行
在这里插入图片描述

总结

  1. 使用在线的沙箱对病毒进行行为分析(virustotal.com、https://s.threatbook.cn、app.any.run)
  2. 运行dll
 rundll32.exe DLLname, Export arguments.
 启动服务可以用
 net start ServiceName
  1. 注册表对比:Regshot
  2. 进程查看器:Process Explorer
  3. 进程监视器:Process Monitor
  4. 简单的网络搭建:Fakenet-ng(https://github.com/fireeye/flare-fakenet-ng)
努力学习的大康
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp代码审计--项目实战2(第四课).zip__
08-09
Asp代码审计是针对使用Active Server Pages (ASP)技术编写的Web应用程序进行深入分析的过程,旨在发现潜在的安全漏洞和编码错误。本项目实战的第四课主要关注通过代码审计来识别安全问题,最终可能实现对服务器的...
恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)
qq_43443410的博客
07-18 2110
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
恶意代码分析实战 2 动态分析基础技术
农夫果园好好喝的博客
01-24 1816
使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。问题ws2_32cks=uadvapi32ntdlluser32StubPathadminWinVMX32-AppData网址是需要注意的,注册表的这个目录也需要注意,CurrentVersion经常用于恶意软件的自启动。拖入PEiD,查看一下是否有壳。由于加了壳,只能看到一个函数表。
恶意代码分析实战_03动态分析基础技术
kitsch0x97的博客
05-05 770
动态分析就是在运行恶意代码之后进行检查的过程。动态分析技术恶意代码分析的第二步,一般在静态分析技术进入一个死胡同的时候进行,比如恶意代码进行了混淆,或者分析师已经穷尽了可用的动态分析技术动态分析包括在恶意代码运行时刻进行监控,以及在恶意代码运行之后来检查系统情况。与静态分析不同,动态分析能够让你观察到恶意代码的真实功能,一个行为存在于二进制程序中,并不意味着它就会被执行。动态分析也是一种识别恶意代码功能的有效方法。
恶意代码动态分析
qq_41821067的博客
02-23 2006
目录实验一问题实验环境实验思路实验过程实验二问题实验环境实验思路实验过程实验三问题实验环境思路实验过程实验四问题实验环境实验思路实验过程 实验一 使用动态分析技术分析lab03-01.exe文件中发现的恶意代码 问题 找出这个恶意代码的导入函数和字符串列表 找出代码在主机上的感染特征 创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。 找出是否存在一些有用的网络特征码,如果存在,它们是什么? 不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 425
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
php代码-ctf payload 第九题 反序列化 do you know robot
07-16
攻击者可以利用这一点来加载恶意类,执行恶意代码。 4. **类继承与多态**:通过继承和多态,攻击者可以创建恶意子类,覆盖父类的方法,在反序列化时触发恶意行为。 **payload的构建** 在本题中,`main.php`可能是...
decompiling-android,godfrey nolan“反编译android”的源代码.zip
10-12
5. **安全考虑**:反编译可能用于恶意目的,如复制知识产权、绕过授权检查或注入恶意代码。因此,开发者应采取保护措施,如混淆代码、使用ProGuard等工具来降低被逆向工程的可能性。 6. **源代码还原**:尽管反编译...
最新网马分析器MDecoder 开源代码
08-10
1. **动态分析**:模拟运行恶意代码,观察其行为,记录与网络、文件系统、注册表等的交互,以确定其恶意意图。 2. **静态分析**:通过解析和解密网页中的隐藏代码,识别潜在的恶意URL和脚本。 3. **签名匹配**:使用...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1728
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战——Lab03-01.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4381
恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的 综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。 2.实验环境(硬件、软件) VMware虚拟机(winxp): 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 kali虚拟机 3.实验步骤(详细描述操作过程,关键分析需要附截图) (1)静态分析 ①MD5值 ②peid分析 可以看到Lab03-01.exe已被加壳处理 ③
[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 4923
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1714
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
网络安全教程(4)
yuwoxinanA3的博客
03-26 7681
10-2-4信息安全国际标准 可信计算机系统评估标准原则 1983年,美国国防部发布了计算机系统安全等级划分的基本准则(Tmsted Computer System Evaluation Criteria,TCSEC),并在1985年对其进行了修订。TCSEC用了可信计算基(Trusted Computing Base,TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。TCSEC论述的重点是通用的操作系统,为了使其评判方法活用于网络,美国国家安全中心于19...
恶意代码分析——基础技术
Woolemon的博客
04-05 8904
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意代码分析实战》课后题第三章
weixin_43988404的博客
03-20 360
Lab 3-1 1、首先静态分析,使用PEid分析,加壳 目前还不会PEncrypt的脱壳,后续再补充(网上资料PEnrypt 3.1 Final的OEP在401528处,以后验证) 因为加壳了,所以显示的导入表和函数不多 。 使用strings进行查看 出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...
恶意代码分析实战》--第三章:动态基础分析
I have a dream
09-13 403
一、虚拟网络环境配置 配置环境:服务器端kali2.0 客户端win7 1、配置inetsim kali自带inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置链接:http://www.cnblogs.com/hyq20135317/p/5515675.html 2、安装ApateDNS 一开始在x...
恶意代码分析-第三章-动态基础分析
每昔的博客
07-27 1175
运行恶意代码        使用沙箱:用作初始诊断:自动执行与分析  缺点              只能简单执行,无法输入控制指令。              不能记录所有事件,只报告基本功能。              沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。        运行代码(.dll):               rundll32.exe程序 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值