恶意代码分析实战 Lab20

最新推荐文章于 2022-02-14 14:28:38 发布
最新推荐文章于 2022-02-14 14:28:38 发布
阅读量446 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41108490/article/details/80632442
版权
本文详细介绍了恶意代码Lab20的分析过程,涉及关键函数sub_401000、sub_401040、sub_401EE0等。程序主要功能包括从指定URL下载文件、遍历C盘查找.doc和.pdf文件并进行特定操作,如上传至FTP。此外,分析了config.dat文件的解码和初始化过程,以及网络连接和HTTP请求的相关函数。通过异常处理和对象初始化,揭示了恶意代码的复杂行为。
摘要由CSDN通过智能技术生成

lab20-01

1sub_401040函数使用,参数this,用ecx来传递这个参数


在sub_401040函数内部,也可以证实这点,而且URL就是上面的http://www.practicalmalwareanalysis.com/cpp.html


可以看到程序非常简单,就在上面那个URL下载文件到c:\tempdownload.exe


Lab20-02

1注意字符串


关键函数是sub_401000

这个函数内部在搜索.doc和.pdf文件.并且是遍历了c盘下的全部目录

下面三个连续的判断是,再看文件属性是不是一个目录,是不是当前目录,是不是父目录,如果不是,说明是一个文件而不是目录,所以跳到loc_40113F判断是个.doc还是.pdf文件(这里有个疑惑,如果strncmp返回0那么说明是父目录或是当前目录也就是说不递归调用了,但是第一个判断FILE_那个不为0的时候,那么他的属性也不一定就是我们要的FILE_ATTRIBUTE_DIRECTORY可能是隐藏文件什么的,那么这个时候也执行递归调用明显是不合理的,看od结果,程序会递归搜索,这样一个目录,明显

最低0.47元/天 解锁文章
默守不成规
关注
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战 第二十章课后实验
Stronger_99的博客
05-05 309
问题1: 使用ida载入实验文件Lab20-01.exe 参数就是ecx的this指针。 问题2: 在上图可以看到在函数sub_401040中调用了函数URLDownloadToFileA,回到main函数就可以看到这个URL: 问题3: 这个程序就是在URL里下载文件tempdownload.exe到C盘。 问题1: 字符串: 可能是ftp客户端程序。 ...
恶意代码分析实战——远程服务器恶意程序
aming小老弟
02-03 666
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战20-2
Yale的博客
05-28 144
本次实验我们将会分析lab20-03文件。先来看看要求解答的问题 Q1.你可以在这个程序中得到什么有意思的字符串? Q2.导入函数表告诉你关于这个程序的什么信息? Q3.在0x4036F0处,存在一个以字符串Config error作为输入的函数调用,其后跟着一些指令,然后是一个对CxxThrowException的调用。除这个字符串外,这个函数还用到其他参数了吗?这个函数返回了什么?从这个函数被使用的上下文中,你可以得到哪些信息? Q4.在0x4025C8处的switch表中的6个项都做了什么? Q5.这
恶意代码分析实战——恶意程序后门
aming小老弟
02-06 1020
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战 Lab 10-2 习题笔记
isinstance的博客
02-24 2021
Lab 10-1 问题 1.这个程序创建文件了吗?它创建了什么文件? 解答: 我们依旧先从静态分析开始,这里我们在第一个导入DLL里面注意到的有趣的函数是这个WriteFile,说明这个代码会改变这个文件 然后我们看第二个导入DLL的函数有哪些 这里有几个我们已经见过好几次的函数,OpenSCManagerA是用来打开服务管理器的函数,StartServiceA是用来启动...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
最新发布
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2102
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
恶意代码分析-第二十章-C++代码分析
每昔的博客
09-14 554
目录 笔记 实验 Lab20-1 Lab20-2 Lab20-3 笔记 C语言和C++的不同:面向对象的编程语言,将数据与操作数据的函数都封装到对象中                                    用类来定义数据类型,保存了函数信息和数据,是一个对象的模板 this指针:原代码                 调用HelloWord函数的对象不同,访...
新手的恶意代码分析记录(一)_Lab01-01
qq_42689353的博客
08-18 1499
一、基本信息 样本基本信息: 样本名称:Lab01-01.dll 样本大小:163840 bytes MD5:290934C61DE9176AD682FFDD65F0A669 样本名称:Lab01-01.exe 样本大小:16384 bytes MD5:5A016FACBCB77E2009A01EA5C67B39AF209C3FCB 使用cff_Explorer 查看样本基本信息 使用查壳工具die查看,可以看出来,两个程序并没有加壳,并且是使用VC6.0编写的。 查看 Lab01-01.dll 程
病毒分析教程第四话--高级静态逆向分析(下)
安全杂货铺
08-15 926
t
恶意代码分析实战 Lab 10-3 习题笔记
isinstance的博客
03-20 1232
问题 1.这个程序做了些什么? 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 把文件放到那个目录之后,点击执行就会跳出这个IE,然后不断的跳IE出来,到我打完这段话,已经跳了这么多的窗口出来了 然后我们开始分析,先是安装书上的开始静态分析 我们先分析的是exe文件 在KERNEL32.DLL...
恶意代码分析实战lab11-2分析
WocW的博客
07-26 510
Lab11-02分析 前言 该实验进行对底层hook来窃取用户信息的恶意代码分析。 详细分析 首先在系统文件夹下打开Lab11-02.ini文件,如果打开失败则不继续运行。如图所示: 读取Lab11-02.ini文件后,进入一个简单解密函数。如图所示: 解密前数据,为乱码。 解密后数据,为一个电子邮件。 进入最后的sub_1000A4B6函数,整体函数流程注释如图所示: 首先获取当前进...
恶意代码分析实战 Lab 11-1 习题笔记
isinstance的博客
04-02 1685
问题 1.这个恶意代码向磁盘释放了什么? 解答: 我们刚刚完成了Windows内核病毒的分析,包括了一些过时的RootKit技术的分析,现在我们回归二进制分析 这里要分析的文件是Lab11-1这个文件,我们先做一些基本的静态分析 我们先看KERNEL32.DLL这个导出DLL 我们可以看到这里有个我们需要注意的CreateFileA导出函数,还有下面那个ExitProcess函数...
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1291
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3571
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
Combat-Lab实战:从CCNA到CCIE的路由技术解析
"Cisco路由案例实战(combat-lab 内部资料)" 本文档是一份由Combat-Lab机构编写的实验手册,旨在提供Cisco路由器相关的实战经验与案例,适合CCNA、CCNP、CCIE以及H3CNE、H3CSE等认证的学习者。Combat-Lab强调理论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值