恶意代码分析实战 Lab1

最新推荐文章于 2024-02-24 14:03:02 发布
VIP文章 最新推荐文章于 2024-02-24 14:03:02 发布
阅读量8.4k 收藏 51
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80298973
版权

Lab 1-1

1将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:


可以看到,大部分匹配到了w32/Ramnit系列病毒特征

2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:


第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.

3看是否加壳最快的当然是用PEID看一下就好,不存在加密混淆.



4从上面的截图可以看出,恶意程序执行一些文件操作的行为,查找文件(FindFirstFileA,FindNextFilesA),创建文件(CreateFileA),读写文件(CopyFileA),创建内存映射对象(CreateFileMappingA),.dll文件创建进程执行程序(CreateProcess),创建互斥量(OpenMutexA) 联网(WS2_32.dll)等行为

5用IDApro查看.exe文件字符串截图如下:


可以看到两个kernel32.dll的细微差别,一个是kernel32

最低0.47元/天 解锁文章
默守不成规
关注
  • 7
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
5款免费检测恶意软件的云沙箱推荐
IT教育任姐姐的博客
06-09 2616
Yomi The Malware Hunter需要用户在完成注册后才能使用文件上传和检测功能,它可以检测目前大多数的恶意软件威胁,并提供全面的静态分析、行为分析和网络分析服务。为了更好的防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。该工具将许多分析工作都通过自动化方式去实现,因此对于刚接触网络安全分析的用户来说,这是一款非常不错的入门级工具,不需要专业的安全知识积累就可以快速地上手应用。
kaggle网站简单介绍
最新发布
u013558123的博客
02-24 828
随着时间的推移,Kaggle 逐渐发展成为一个更大的社区,提供了更多的功能和资源,以满足数据科学家的需求。除了竞赛,Kaggle 还提供了大量的数据集。总的来说,Kaggle 是一个数据科学和机器学习爱好者的社区,它提供了一个平台,让人们可以学习、分享、竞争和找到工作。Kaggle 是一个面向数据科学和机器学习爱好者的在线平台,它提供了一个用于数据科学竞赛、数据集分享和模型训练的环境。总的来说,Kaggle 是一个数据科学和机器学习爱好者的社区,它提供了一个平台,让人们可以学习、分享、竞争和找到工作。
chapter1 静态分析技术-01反病毒引擎扫描virustotal
weixin_43925963的博客
11-13 260
恶意代码分析实战练习,virustotal扫描
VirusTotal 为 Chrome 和 Firefox 发布 VT4Browsers 扩展
itcarry的博客
05-23 121
VirusTotal 是Google 于 2012 年收购的一项有用的在线病毒扫描服务。该服务的开发人员已经发布了 VT4Browsers,这是一个针对 Firefox 和 Google Chrome 的更新的网络浏览器扩展。
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1115
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析
weixin_33872566的博客
04-18 143
基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧; 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。 可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘中运...
恶意代码分析(Malicious Mobile Code)
09-10
恶意代码分析(Malicious Mobile Code)
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 617
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 193
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 389
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值