恶意代码分析实战 Lab7

最新推荐文章于 2024-05-13 20:19:25 发布
最新推荐文章于 2024-05-13 20:19:25 发布
阅读量1.5k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80352495
版权
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
摘要由CSDN通过智能技术生成

lab07-01

1惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了


再看看字符串


分析主函数:看两个关键参数(lpservicename和lpserviceproc)和两个关键函数(startservicectrldispatcher和sub_401040),startservocectrldispacher函数将主线程链接到服务控制管理器,说明lab07-01要作为服务程序运行,服务名字是MalService,开始运行地址是sub_401040,所以分析一下sub_401040就可以知道他在干嘛.


双击跳转到401040处,看程序流程图分析一波:

首先是openmutex检查互斥量HGL345是否存在,存在这说明已经有一个恶意程序在运行了,所以就直接就结束程序,如果不存在则createmutex创建这个互斥量

然后是打开openscmanager得到服务控制管理器句柄备用

然后getcurrentprocess得到进程句柄备用

然后getmodulefilename得到当前进程路径名备用

然后createservice把前面备用的都当参数传进去了创建了个malservice'服务,注意参数0x02(dwstarttype)是自启动

然后systemtimetofiletime将系统时间转换为文件格式备用,其中年设置为2100其他都是0(2010年1月1日00:00)然后他把这个时间传给了setwaitabletimer

然后createwaitabletimer创建同步定时器对象,对象句柄备用

然后setwaitabletimer激活(使用前两个备用作为关键参数)

最后waitforsingleobject等待定时器对象处于信号状态或超时间间隔结束(FFFFFFFFh这么长时间等到啥时候),只有等待成功返回0那么程序就接着做,否则跳转去sleep了(依照参数要等到2100年1月1日吃啊处于信号状态)

那么成功等待之后做啥呢:

首先设置了14h大小的循环控制变量,然后createthread创建线程 14h次就也转去睡觉了.那么这些线程做啥:看startaddress



就做一件事一直链接加载这个网址http://www.ma

最低0.47元/天 解锁文章
默守不成规
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 612
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战》第7章 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 1509
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7章 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 414
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 705
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战 7 WinDbg
农夫果园好好喝的博客
01-24 1751
(好奇怪,没看到3)分析Lab 10-01.sys文件,发现导入表只有三个函数,第一个函数是KeTickCount,剩下两个函数是RtlCreateRegistry和RtlWriteRegistryValue,这告诉我们驱动可能访问了注册表。通过IO通信给驱动发送了控制码0ABCDEF01h,接下来的几个函数初始化了COM对象,并在每30s执行一次某个函数,这个函数有一个参数是这个网址字符串,经过在虚拟机运行程序可知,这是每30s弹出一个广告网页。当打开驱动文件,移动到它的入口时,看到如下代码。
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 656
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
网络安全实验九 恶意代码实验
qq_64314976的博客
06-22 1169
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
恶意代码实战分析——lab11-02
weixin_51409218的博客
03-04 306
恶意代码实战分析——lab11-02
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码的世界——编写恶意代码,远比写一个功能来的容易
深水猫妖的博客
11-11 166
上一篇文章中,我们提到了隐私泄露的问题,这一篇我们来继续揭露隐私是如何泄露的——计算机病毒。 代码能存在于哪里?不仅限于计算机,任何通信、控制类的设备中,都会有代码,而恶意的代码能轻松将其变为灾难。 恶意代码,何以作恶?我们要如何避免恶意代码入侵我们的生活?
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1127
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
一段简单的恶意程序代码
m0_47994271的博客
01-17 3430
恶意代码——修改浏览器主页
恶意代码分析实战 8 恶意代码行为
农夫果园好好喝的博客
01-24 1635
首先使用strings进行分析。Gina是在 msgina.dll中的。很多有关资源的函数。关于注册表的函数。使用ResourceHacker查看。发现是一个PE文件。保存为dll文件。启动Promon。进入注册表查看。向磁盘释放了一个msgina32.dll。使用WinMD5发现这个dll和我们在资源中提取出来的文件是同一个文件。代码将自己添加到注册表中,使得系统被重启后,msgina32.dll会被重新加载。非常多的以Wlx开头的函数名字,可以判断是gina。
C/C++恶意代码盘点(一):进程遍历丨木马病毒丨密码记录
yaosichengalpha的博客
07-05 1352
C/C++恶意代码盘点(一):进程遍历丨木马病毒丨密码记录
JavaScript恶意代码
iteye_5722的博客
03-17 2032
一 介绍 使用JavaScript进行程序开发时,可以使用JavaScript的部分属性或方法来提高安全性,但也会无意编写出恶意代码。   二 恶意代码举例 在编写代码时,有可能由于疏忽编写出浪费系统资源的恶意代码,造成浏览器崩溃或者死机。 下面来看几段浪费系统资源的代码。 1、下面一段代码造成了死循环。当退出循环的条件永远不成立时,这个循环被称为死循环。死循环会造成系统资源的浪费,...
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值