恶意代码分析实战 Lab 3-4 习题笔记

最新推荐文章于 2022-04-13 18:17:56 发布
最新推荐文章于 2022-04-13 18:17:56 发布
阅读量936 收藏 4
点赞数 1
分类专栏: 安全 文章标签: 代码分析 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isinstance/article/details/77853842
版权

Lab 3-4

问题

1.当你运行这个文件时,会发生什么呢?

解答: 一开始我们使用静态分析技术来看看这个文件

静态分析

有文件的操作,也有进程的操作

PEiD

PEiD显示没有加壳

re

资源节也没有藏东西

然后看看字符串用ida

字符串

有一个command.com的网址

还有一些应该错误处理函数的输出字符串

字符串2
最上面的有个注册表的位置是SOFTWARE\\Microsoft\\XPS

有一个HTTP的字符串,还有那个恶意网址

说明这个程序会联网

然后运行看看

然后跟书上说的一样。。。一运行就删除了这个程序

2.是什么原因造成动态分析无法有效实施?

解答: 程序会自动删除

3.是否有其他方式来运行这个程序?

解答: 书中作者已经试了,但是都不行,留到第九章在分析

本文完

恶意代码分析实战Lab0304
ACdream
02-04 656
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 239
恶意代码实战详细分析
恶意代码分析实战
博文视点(北京)官方博客
05-28 7920
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 905
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码分析实战—实验3-4
qq_43481350的博客
09-01 354
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 717
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 418
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
Lab 3-4
bangren3304的博客
01-09 201
Analyze the malware found in the file Lab03-04.exe using basic dynamic analysis tools. (This program is analyzed further in the Chapter 9 labs.) Questions and Short Answers What happens when you...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 679
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 229
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1257
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 452
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 1008
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值