恶意代码分析实战 Lab18

最新推荐文章于 2024-04-30 17:57:54 发布
最新推荐文章于 2024-04-30 17:57:54 发布
阅读量788 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80611496
版权

lab18-01

第一个是upx加密


这里我们手动脱壳,upx壳挺简单的,只要找到oep就行

注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点,按f9就能快速到达popad


最后的跳转jmp后地址就是正确oep了

直接用ollydbg脱壳


直接就脱壳成功了


至于判断是之前的那个恶意代码也不难IDA打开看看就能大概记起来

他是lab14-01,答案说upx -d会失败,,反正我是手动脱壳的


lab18-02

FSG加壳,定位到ope即可


这里快点选择下面插件可以快速到达程序oep


定位到这里,选择删除分析,就可以


还是选择ollydbg插件直接脱壳,成功.这是lab07-02


lab18-03

PECompact加壳


要找到oep运行到此次,然后单步步入,

跳到这里,在选择插件找到oep


oep入口


之后一样的操作即可脱壳成功,也可以像课本使用如第一个程序一样的方法 源程序是lab09-02



lab18-04

ASPack加壳


还是用pushad设硬件断点的方法


程序入口


后面操作一样,这是lab09-01


lab18-05

最后一个虽然显示为upx但是,总觉得异常


od打开,果然和一般的upx不一样.我们试一下使用插件失败

所以再使用一次插件,你会发现程序入口点找到了


脱壳就好,然而程序跑不起来因为还需要修复导入函数

这里我使用scylla来修复导入函数表

如下图,附加进程,然后自动查找IAT,然后获取输入表,最后修复转储后的文件(就是之前dump下来的文件),然后程序就能正常运行了

还要记得修复oep为401190


脱壳成功,IDA查看代码会发现程序和lab07-01一模一样

分析结束

默守不成规
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1408
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1438
Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3323
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1147
恶意代码实战分析
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2460
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战Lab1503
ACdream
07-11 214
CreateToolHelp32Snapshot:可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。说到底,可以获取系统中正在运行的进程信息,线程信息等Thread32First,Thread32Next:用来遍历每一个线程Module32First,Module32Next:BOOL Module32First( HANDLE ...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
m0_46687377的博客
12-09 1372
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3496
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战
iteye_15786的博客
05-28 234
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代...
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 965
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战 --- 第十一章 恶意代码行为
abelxu
06-06 1174
一、 Lab11-01 行为分析 在当前目录释放文件msgina32.dll 并且修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL为释放出来的msgina32.dll,对登录进行劫持。 ida pro7.5很多unicode字符串无法识别出来。这里用了SysinternalsSuite中的strings工具来搜索字符串。 静态分析 对Wlx开头的所有函数进行分析。大部分的函数如下:
恶意代码分析实战5-1
qq_51459600的博客
09-16 395
恶意代码分析实战Lab5-1 文章目录恶意代码分析实战Lab5-11.DllMain的地址是什么?2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址?3.有多少函数调用了gethostbyname?4.将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗?5.IDAPro 识别了在0x10001656处的子过程中的多少个局部变量?6.IDAPro识别了在0x10001656处的子过程中的多少个参数?7.使用String
恶意代码实战分析Lab05-01
王陈锋的博客
06-10 682
Lab05-01 只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。 1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置 或者点击图中红色区域 然后会出现viewB 然后可以右键点击 便到了dllmain的开头地址。 2.使用Imports窗口并浏览到gethostbyna......
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值