Lab 6-1

最新推荐文章于 2022-02-14 14:28:38 发布
最新推荐文章于 2022-02-14 14:28:38 发布
阅读量222 收藏
点赞数
原文链接:http://www.cnblogs.com/houhaibushihai/p/10263863.html
版权

LABS

The goal of the labs for this chapter is to help you to understand the overall functionality of a program by analyzing code constructs. Each lab will guide you through discovering and analyzing a new code construct. Each lab builds on the previous one, thus creating a single, complicated piece of malware with four constructs. Once you’ve finished working through the labs, you should be able to more easily recognize these individual constructs when you encounter them in malware.

Lab 6-1

In this lab, you will analyze the malware found in the file Lab06-01.exe.

Questions and Short Answers

  1. What is the major code construct found in the only subroutine called by main?

    A: The major code construct is an if statement located at 0x401000.

  2. What is the subroutine located at 0x40105F?

    A: printf is the subroutine located at 0x40105F.

  3. What is the purpose of this program?

    A: The program checks for an active Internet connection. If an active connection is found, it prints “Success: Internet Connection.” If a connection is not found, it prints “Error 1.1: No Internet.” This program can be used by malware to check for a connection before attempting to connect to the Internet.

Detailed Analysis

We begin by performing basic static analysis on this executable. Looking at the imports, we see that the DLL WININET.dll and the function InternetGetConnectedState are imported. The Windows Internet (WinINet) API enables applications to interact with HTTP protocols to access Internet resources.

605033-20190113202418720-89674079.png

Using MSDN (InternetGetConnectedState), we learn this Windows API function checks the status of the Internet connection for the local system. The strings Error 1.1: No Internet and Success: Internet Connection hint that this program may check for an active Internet connection on the system.

605033-20190113202444849-2077650160.png

Next, we perform basic dynamic analysis on this executable. Nothing overly exciting happens when this executable is run from the command line. It simply prints “Success: Internet Connection” and then terminates.

605033-20190113202458815-581917876.png

Finally, we load the file into IDA Pro for full analysis. Much of this disassembly is generated by the compiler, so we need to be careful to avoid going down rabbit holes of irrelevant code. Therefore, we start from the main function, which is typically where the code written by the malware author begins. In this case, the main function starts at 0x401040. The main function calls the function at 0x401000, which appears to be a key function of interest because it is the only one called by main. Figure 6-1L shows a flow graph of this function.

605033-20190113202512913-607634383.png

605033-20190113202524787-1167452698.png

Figure 6-1L: Disassembly flow graph of the function at 0x401000

Now we graph this function in IDA Pro using View -> Graphs -> Flow chart. Looking at this graph and code, we see a common code construct: two different code paths depend on the result of the call to InternetGetConnectedState. The cmp instruction is used to compare the result contained in EAX to 0, and then the jz instruction is used to control the flow.

605033-20190113202538521-555135462.png

The MSDN page on InternetGetConnectedState further states that the function returns 1 if there is an active Internet connection; otherwise it returns 0. Therefore, the code will take the false branch at \({\color{red}1}\) if the result is 0 because the zero flag (ZF) will be clear; otherwise, it will take the true branch at \({\color{red}2}\). The code construct used in this function is an if statement.

The function calls the subroutine at 0x40105F in two locations, but if we dive into that function, we will quickly get lost in a rabbit hole. This function is printf. Surprisingly, both the IDA Pro commercial and freeware versions will not always recognize and label the printf function. Therefore, we must look for certain signals that hint at an unlabeled call to printf. One easy way to tell is by identifying parameters pushed onto the stack before the call to the subroutine. Here, in both cases, a format string is pushed onto the stack. The \n at the end of a string denotes a line feed. Also, given the context and the string itself, we can deduce that the function is printf. Therefore, we rename the function to printf, so that it is marked as such throughout the code, as shown in Figure 6-1L. Once the printf function is called, we see that EAX is set to either 1 or 0 before the function returns.

605033-20190113202553278-2138231813.png

To summarize, this function checks for an active Internet connection, and then prints the result of its check, followed by returning a 1 if it is connected and 0 if it is not. Malware often performs a similar check for a valid Internet connection.

Preference

恶意代码分析实战 Lab 6-1 习题笔记

转载于:https://www.cnblogs.com/houhaibushihai/p/10263863.html

bangren3304
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战实验Lab 6-1
m0_37442062的博客
05-06 408
Lab 6-11.由main函数调用的唯一子过程中发现的主要代码结构是什么?2.位于`0x40105F`的子过程是什么?3.这个程序的目的是什么?参考 1.由main函数调用的唯一子过程中发现的主要代码结构是什么? 先进行基础的静态分析 InternetGetConnectState函数用于检查本地系统的网络连接状态。 GetACP获取当前系统的代码页编码,如简体中文是 936。 GetCPinfo取得与指定代码页有关的信息。 使用strings GetCommandLineA获取命令行输入参数 E
恶意代码分析实战 Lab 6-1 习题笔记
isinstance的博客
09-12 2295
Lab 6-1问题1.在main函数调用的唯一子过程中发现的主要代码结构是什么?解答: 我们照着书中的步骤走一遍先静态分析一下然后我们会发现这个WININET.DLL的导入有个函数InternetGetConnectedState,然后我们查询一下MSDN的说明这是用于检测本地系统的连接状态的这个函数会主要有这么几个值选项有LAN方式,也有MODEM拨号方式,还有OFFLINE不在线状态,到此我们大
恶意代码分析实战—实验6-1
qq_43481350的博客
09-01 263
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析-lab6
qq_41810304的博客
08-01 604
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
《恶意代码分析实战》实验——Labs-06
草草君
09-28 642
《恶意代码分析实战》实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战》实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
lab6-alexhan
05-02
【标题】"lab6-alexhan" 指向的是一项关于Android平台2D游戏开发的实验项目。在这个实验中,学生或开发者将学习如何利用Java编程语言在Android环境中创建基本的2D游戏。Java是Android应用开发的主要语言,因此熟悉...
LAB6-CVDS
03-04
【标题】"LAB6-CVDS" 指的可能是一个关于计算机视觉和数据结构(CVDS)的实验或项目,通常在编程教学环境中出现,尤其是针对Java编程语言。在这个实验室,学生可能会学习如何利用Java来处理图像数据,实现一些基础的...
lab6-brush-zoom
02-12
【标题】"lab6-brush-zoom"是一个与JavaScript相关的项目,它可能是一个实验或教程,专注于在数据可视化中使用刷子工具进行区域选择,并实现缩放功能。在这个项目中,用户可以学习如何通过JavaScript来增强交互式...
Lab6-EmiliaZinger
05-02
COMP 271 SU18实验6(第8周)可选的团队分配您可以选择与合作伙伴一起工作。目标对以下概念和技术的理解: ADT实施角度队列ADT 将队列实现为循环数组容量固定与增长的队列基于队列的FIFO策略的算法基于界面的测试...
LAB6-ARSW
03-10
Escuela Colombiana deIngeniería 软件园 ... 第一部分 Trabajo个人或团体。 一个临时性的建议,每个人都必须接受特别的预防性治疗。 Al oprimir,“获取蓝图”,咨询了planos del usuario dado en el Formulario。...
Lab 6-2
bangren3304的博客
01-13 256
Analyze the malware found in the file Lab06-02.exe. Questions and Short Answers What operation does the first subroutine called by main perform? A: The first subroutine at 0x401000 is the same a...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1725
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3462
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1613
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
《恶意代码分析实战》课后题 Lab11-01
wangtiankuo的博客
08-04 1976
1.行为分析 资源节里面有一个可执行文件。 对注册表的Winlogon进行了操作,创建了GinaDLL表项。 创建了msgina32.dll文件,并向此文件中写入了长度为2560字节的数据。 2.恶意代码分析 2.1 对Lab11-01.exe进行分析 根据main函数的伪代码,总结出程序的大致流程为,从资源节中导入文件,打开文件,对文件进行写操作-->获取当前文件的完整路径-->使用
恶意代码分析实战 Lab16-01
wangtiankuo的博客
08-30 718
知识点: 一、 使用windowsAPI来探测调试器是否存在反调试技术 IsDebuggerPresent CheckRemoteDebuggerPresent NtQueryInformationProcess OutputDebugString 二、 手动检测数据结构 检测BeingDebugged属性 fs:[30]指向PEB的基地址,PEB基地址偏移为2的地方是BeingD
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8528
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
做完这几道恶意代码分析实战题,十一回来老板就给涨薪!
dfdhxb995397的博客
09-27 107
十一长假要来啦~ 好多同事都提着行李,下班就去几场火车站的,小编这代码还没敲好,担心有人来黑,实在不放心。 话说知己知彼才能百战不殆,放假前把这几个恶意代码的实验做了,谁也动不了我的网站! 不会查找恶意代码的程序员不是好攻城狮。。 尽管恶意代码以许多不同的形态出现,但分析恶意代码的技术是通用的。你选择使用哪项技术,将取决于你的目标。如何防范恶意代码的恶意程序进行恶意...
恶意代码分析实战 第六章课后实验
Stronger_99的博客
04-11 535
静态分析: 首先使用peid进行静态分析: 看到了一个重要的API函数InternetGetConnectedState,意思为返回本地系统网络连接状态。 然后查看字符串发现: 问题1: 用ida打开文件Lab06-01.exe,发现了有main唯一调用的子程序call sub_401000 双击点进去发现了一个很明显的分支结构,这就是if语句 问题2: ...
Lab7 - 欧拉函数
最新发布
05-10
例如,对于n=30,我们将其分解质因数得到30=2×3×5,则φ(30) = 30 × (1-1/2) × (1-1/3) × (1-1/5) = 8。 2. 筛法 我们可以使用筛法(Sieve)来计算欧拉函数。具体地,我们可以先将φ(1)至φ(n)全部初始化为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值