恶意代码分析实战 Lab16

最新推荐文章于 2023-12-25 17:49:02 发布
最新推荐文章于 2023-12-25 17:49:02 发布
阅读量428 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80592620
版权
这篇博客详细分析了三个恶意代码样本,探讨了它们使用的反调试技术,包括检查PEB的BeingDebugged标志、ProcessHeap的forceflag、NTGlobalFlag以及TLS回调函数。在不同的操作系统环境下,这些技术的效果不同。作者还提到了程序如何在检测到调试时执行删除自身等行为,并通过SEH和QueryPerformanceCounter等技术来混淆分析。通过对样本的深入分析,揭示了恶意代码逃避检测的手段。
摘要由CSDN通过智能技术生成

lab16-01

程序开头就判断了PEB结构,的BeingDebugged是否为为0,如果为0则loc_403573正常执行,否则调用sub_401000


接着正常路径走,发现程序又查看了processheap的forceflag标志,同样为0是无调试


最后查看了NTGlobalFlag,是否为70h.70则是调试状态


然后程序还要求参数不为1

看被识别处程序处于调试时函数sub_401000做了什么

程序会得到如下的cmd参数


最后运行cmd,删除程序

对比win7(左)和xp的prcocessheap,知道程序只有再xp下正常运行,并且实测这三种方法都过时了,ollydbg下都是无效的.

最低0.47元/天 解锁文章
默守不成规
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1481
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 439
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1566
Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
[HNCTF 2022 Week2]
qq_49341576的博客
04-26 748
[HNCTF 2022 Week2]
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1234
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
IDA pro总结
Life_hes_az的博客
03-10 2411
本文对IDAPro的常见内容进行总结,未完待续。 一、常见符号的含义 sub_xxxx 地址xxxx处的子例程(过程/方法) loc_xxxx 地址xxxx处的一个指令 byte_xxxx 位置xxxx处的8位数据 unk_xxxx 位置xxxx处的大小未知的数据 .text:00401020 ; Attributes: bp-based frame .text:004010...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析技术
weixin_30401605的博客
11-18 682
1、恶意代码分析技术 恶意代码分析有两类方法:静态分析和动态分析。静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术。 1)、静态分析技术基础技术 静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你...
恶意代码分析实战 --- 第十一章 恶意代码行为
abelxu
06-06 1264
一、 Lab11-01 行为分析 在当前目录释放文件msgina32.dll 并且修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL为释放出来的msgina32.dll,对登录进行劫持。 ida pro7.5很多unicode字符串无法识别出来。这里用了SysinternalsSuite中的strings工具来搜索字符串。 静态分析 对Wlx开头的所有函数进行分析。大部分的函数如下:
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 3044
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1615
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战 Lab 6-1 习题笔记
isinstance的博客
09-12 2298
Lab 6-1问题1.在main函数调用的唯一子过程中发现的主要代码结构是什么?解答: 我们照着书中的步骤走一遍先静态分析一下然后我们会发现这个WININET.DLL的导入有个函数InternetGetConnectedState,然后我们查询一下MSDN的说明这是用于检测本地系统的连接状态的这个函数会主要有这么几个值选项有LAN方式,也有MODEM拨号方式,还有OFFLINE不在线状态,到此我们大
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2951
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意代码分析实战 Lab14
baidu_41108490的博客
06-04 2385
1程序使用URLMON.dll库注意到存在base相关字符串2程序调用GetcurrentHwProfile得到计算机硬件配置信息,返回值如下图接着getusername得到当前用户名,看到返回结果位Administrator上面两个就是构建网络信令的信息源元素他们最终构造如下图的字符串然后这个字符被作为参数传递给sub_4010BB函数函数在内部调用sub_401000函数,由base字符串查看...
恶意代码分析实战 课后题 Lab11-02
wangtiankuo的博客
08-09 939
这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。 1.样本概况 病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。 1.1样本信息 md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9 sha1:79787427773DCCE211E8E65E1156BD60535494EC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值