恶意代码分析实战 Lab10

最新推荐文章于 2024-05-10 10:11:03 发布
最新推荐文章于 2024-05-10 10:11:03 发布
阅读量2k 收藏 6
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80391915
版权

lab10-01

1简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串

再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注册表操作



我们依照题意先用promon看看lab10-01.exe都做了什么操作,发现只有一个对注册表的写操作,还只是写了一个随机种子


2先分析.exe发现程序很简单把,sys注册为名为Lab10-01服务(并且他的类型为3),然后启动这个服务,最后调用ControlService,停止服务,注意第二个参数为1,是通知服务应该停止


现在要内核调试才能看到我们想要了解的信息了,配置的话一般照着课本是不会有问题的,有问题的话(一个是管理员身份运行windbg,然后注意vm中右下角那个串行接口显示的和boot.ini是一致的)


成功后查看Lab10-01的对象信息


然后在他的driverunload处下断点,然后运行,回到虚拟机中继续运行.exe程序发现马上命中断点,虚拟机停止运行


单步运行发现四次调用 RtlCr

最低0.47元/天 解锁文章
默守不成规
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战_03动态分析基础技术_实验
kitsch0x97的博客
05-13 415
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3550
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 632
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2559
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战_05 IDA Pro
最新发布
kitsch0x97的博客
05-10 944
当IDA Pro对一个程序进行初始反汇编时,字节偶尔会被错误地分类,代码可能被定义为数据,数据也可能被定义为代码。在反汇编窗口中最常用地重新定义代码地方式,是按U键来取消函数、代码或数据的定义。当你取消代码定义时,后续字节会被重新格式化为一个原始字节列表。可以按C键定义原始字节为代码,按D键定义原始字节为数据,按A键定义原始数据为ASCII字符串。
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 3039
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码分析实战 Lab 10-2 习题笔记
isinstance的博客
02-24 1996
Lab 10-1 问题 1.这个程序创建文件了吗?它创建了什么文件? 解答: 我们依旧先从静态分析开始,这里我们在第一个导入DLL里面注意到的有趣的函数是这个WriteFile,说明这个代码会改变这个文件 然后我们看第二个导入DLL的函数有哪些 这里有几个我们已经见过好几次的函数,OpenSCManagerA是用来打开服务管理器的函数,StartServiceA是用来启动...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4750
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析-第十章-使用WinDbg调试内核
每昔的博客
09-18 1089
目录 笔记 实验 Lab10-1 Lab10-2 Lab10-3 笔记 驱动:Windows设备驱动的简称,是第三方开发商在Windows内核模式下运行代码,常在内存中,负责响应用户态程序的请求。            设备对象不一定是真实的物理设备            应用程序不能直接访问驱动程序             当一个驱动程序首次加载到内核空间中时,会调用Dr...
恶意代码分析实战 lab1-4
Yale的博客
02-21 572
q3:文件是什么时候编译的 载入petools 文夹头-》时间、日期标志 可以看到时间。 Q4: 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么 peid载入 可以看到一些dll 比如advapi32.dll 有一些权限、注册表相关的操作 再比如kernel.dll有很多文件相关的操作 q6: ...
恶意代码分析实战Lab0301
ACdream
01-28 940
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值