恶意代码分析实战 Lab1

最新推荐文章于 2024-09-01 09:57:52 发布
最新推荐文章于 2024-09-01 09:57:52 发布
阅读量8.5k 收藏 51
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80298973
版权
本文详细介绍了四个实验室的恶意代码分析过程,包括使用VirusTotal检测、PEID工具、IDApro进行动态和静态分析,揭示了文件操作、加壳识别、服务创建、网络活动等关键行为。通过字符串对比、函数检测和资源提取,确定了恶意程序的性质和潜在危害。
摘要由CSDN通过智能技术生成

Lab 1-1

1将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:


可以看到,大部分匹配到了w32/Ramnit系列病毒特征

2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:


第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.

3看是否加壳最快的当然是用PEID看一下就好,不存在加密混淆.



4从上面的截图可以看出,恶意程序执行一些文件操作的行为,查找文件(FindFirstFileA,FindNextFilesA),创建文件(CreateFileA),读写文件(CopyFileA),创建内存映射对象(CreateFileMappingA),.dll文件创建进程执行程序(CreateProcess),创建互斥量(OpenMutexA) 联网(WS2_32.dl

最低0.47元/天 解锁文章
默守不成规
关注
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1335
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战Lab1
ACdream
01-25 1177
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
kaggle平台free使用GPU
最新发布
zqx1473的博客
09-01 5626
选择【ACCELERATOR】,在下拉框中可以选择你想使用的GPU,如【GPU P100】,(建议把【Internet】打开【Internet on】在使用中可能下载数据,安装库会使用到,默认是打开的)回到主界面,点击【头像】进入【Settings】,下划至【Quotas】,如下可以看到,总时长为30小时,已经使用7分钟(每周30小时免费时长)输入【邮箱】、【密码】和【用户名】后,勾选【进行人机身份验证】,【Next】下一步。创建成功后界面默认如下,点击左上角【运行】按钮,初始化会话环境。
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1257
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析
weixin_33872566的博客
04-18 187
基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧; 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。 可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘中运...
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1149
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析(Malicious Mobile Code)
09-10
恶意代码分析(Malicious Mobile Code)
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 680
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 229
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 454
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 1013
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 506
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 491
和0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值