恶意代码分析实战 Lab 3-3 习题笔记

最新推荐文章于 2024-10-13 13:36:42 发布
最新推荐文章于 2024-10-13 13:36:42 发布
阅读量3k 收藏 13
点赞数 2
分类专栏: 安全 文章标签: 代码分析 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isinstance/article/details/77853429
版权

Lab 3-3

问题

1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?

解答: 这种没有明确目的的题目,我们先开始

运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe

然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)

会发现Lab03-03.exe创建了一个svchost.exe

然后Lab03-03.exe退出,只留下svchost.exe

而题目的书上解答是

恶意代码执行了对svchost.exe文件的替换

这个的确没想到那么一步

2.你可以找到任何的内存修改的行为吗?

解答: 安装书中的解答方式

我们用Process Explorer点中那个单独出来的svchost.exe

然后在ImageMemory单选按钮之间切换

Image

Memory

会发现这两个明显不一样

然后把Memory中的字符串往下拖会发现

下面

书中提到的practicalmalwareanalysis.log的字符串,还有就是[ENTER][SHIFT]

这都是不会在正常的svchost.exe出现的

正常svchost.exeImage

正常

正常svchost.exeMemory

正常

正常的svchost.exe的都是相同的

然后出现了[ENTER]这些字符串,书中说,这个很可能是个击键记录器

我们随便打开虚拟机界面开一个文本乱敲一下看

然后根据PID来在procmon中创建一个过滤器

过滤器设置

比如这样设置的话

我们就可以发现这个程序一直在不断的CreateFileWriteFile

CW

然后我们找到这个log文件,其实就在可执行程序的同一个目录下

文件

1文件是我为了测试新建的

然后打开这个log文件,就可以看到记录下来的信息了

记键器

注意文中出现的[ENTER]

3.这个恶意代码在主机上的感染迹象特征是什么?

解答: 根据上面的分析,迹象就是创建了一个praticalmalwareanalysis.log文件

4.这个恶意代码的目的是什么?

解答: 根据上面的分析,是个键盘记录器

本文完

isinstance
关注
专栏目录
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 243
恶意代码实战详细分析
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4075
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战3-3、3-4
qq_51459600的博客
09-08 184
Lab3-3 问题1 每次运行该程序都会多一个svchost.exe然后该进程自动结束 问题2 内存字符串和映像字符串不同,说明该程序对内存中的svchost进行了修改 出现上图字符串一般是对键盘进行监听 问题3、问题4 该程序在系统中创建了practicalmalwareanalysis.log日志文件,我们打开该文件查看如下: 可以看到该程序对键盘记录的结果 Lab3-4 问题1 文件运行一瞬间后自动结束运行并将自身删除 通过procmon不难发现该程序打开了一个cmd.exe 问题2
恶意代码分析实战lab3
最新发布
qq_74420726的博客
10-13 881
它集成了 Filemon 和 Regmon 的功能,可以帮助分析和调试系统问题,追踪应用程序的行为,特别是在恶意软件分析中,它是检测和跟踪恶意软件行为的有力工具。Process Explorer 是一个高级的系统任务管理工具,能够显示详细的系统信息,包括正在运行的进程、打开的句柄和加载的 DLL。在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码
PracticalMalwareAnalysisLabs(恶意代码习题
06-06
PracticalMalwareAnalysis-Labs-fanhua为广大恶意代码学习者提供学习的工具以及题库
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1250
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1864
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战Lab3——01
sxr__nc的博客
12-23 819
第一步:查壳 显示无壳,但是根据图片信息可以看出,该程序是用汇编语言编写的 第二部步:查看函数信息 导入表只有一个函数:ExitProcess(因为是应用程序,所以不看导出函数) 第三步:IDA查看反汇编结果: 先查看字符串: 找到可以的字符串,查看交叉引用,显示无交叉引用,接下来看反汇编结果: 定位到关键函数,直接跳转过去,反编译失败,修改堆栈失败,采用动态调试的方式进行进一步的分析: ...
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 718
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
恶意代码分析实战课后练习
09-04
恶意代码分析实战的课后资料,如果有兴趣的同学可以下载,然后通过7z解压,
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 421
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战Lab 5-1
m0_37442062的博客
05-05 825
1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了) .text:1000D02E 2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址? .idata:100163CC 3.有多少函数调用了gethostbyname? Jump to xref operand 函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。 4.将精力集中在位于0x10001757处的对gethostbyname的
恶意代码分析实战3-1
Yale的博客
09-20 500
使用动态分析基础技术来分析lab03-01.exe Q1:找出这个恶意代码的导入函数与字符串列表 Q2:这个恶意代码在主机上的感染迹象特征是什么 Q3:这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? 依次分析 Q1:找出这个恶意代码的导入函数与字符串列表 将文件载入peview 可以看到只导入了kernel32.dll。只有一个导入函数——ExitProcss 推测这个程序可能被加壳了,导入函数将在运行时被解析 然后使用string查看字符串 从打印出的结果中我们看到url,注册表位置,e
恶意代码分析实战》实验——Labs-03
草草君
09-08 522
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)
qq_43443410的博客
07-18 2774
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
H3CIE-RS LAB实验解法与排错技巧解析
资源摘要信息:"H3C 华三 H3CIE RS LAB 实验 版本 解法 排错 考题 拓扑 A图 C图 D图" 知识点一:H3CIE RS认证概览 H3CIE RS是华三通信(H3C)推出的网络专业认证体系中针对路由交换技术的高级认证。H3CIE RS认证证明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值