恶意代码分析实战 Lab 7-2 习题笔记

最新推荐文章于 2023-01-24 21:00:14 发布
最新推荐文章于 2023-01-24 21:00:14 发布
阅读量1.3k 收藏 4
点赞数 2
分类专栏: 安全 文章标签: 代码分析 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isinstance/article/details/78098085
版权

Lab 7-2

问题

1.这个程序如何完成持久化驻留?

解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看

图片
我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看

第一个函数CoCreateInstance这个函数是这样的

图片

看不懂,什么鬼,剩下两个函数看字面意思,一个是OleInitialize也就是ole初始话的,然后OleUninitialize这个函数,是反初始话ole

然后剩下的两个DLL并没有什么有价值的导入函数,第二DLL甚至没有导入函数

图片

然后还有这么几个导入DLL没有识别出来

图片

往后我们分析一下字符串看看,还是这个老套路

图片

也没有什么有价值的字符串出现,然后书中那些个出现的函数,我是没发现,是不是因为在这个两个DLL中没被识别出来

我试试用winxp去运行看看,然后还是这个样子的

图片

依旧找不到这个DLL

无法了,我们只好开始动态分析

图片

直接点运行之后,就会跳出一个窗口,然后就开始连接这个网址

图片

我们会发现这里,删除了一个键

已删除键 (1) 快照 A 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012017090520170906]

然后新建了这么几个键

新添加键 (5) 快照 B 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Default HTML Editor] 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites] 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012017092620170927]

这个看样子的话,是将这个Default HTML Editor设置成了Internet Explorer,然后便是增加了一个\Toolbar\WebBrowser,这个应该是浏览器的工具栏这里的位置,然后MenuOrder\Favorites应该就是收藏夹

然后看这个得不出什么重要的结论,我们开始IDA分析吧

图片

这里的main函数,一开始是先调用了OleInitialize这个函数,然后这个函数的作用根据书中的介绍就是初始化COM,然后便是一个判断jl跳转,具体不懂的可以看看我的Lab 4的博客

这里使用了test之后然后再使用这个jl跳转,这个其实就是判断两种情况的,具体的汇编原理分析我在Lab 4里面写了,就是这么两种情况

eax >= 0 和 eax < 0

如果eax>=0的话,jl不会跳转
然后如果eax<0的话,jl就会跳转了

然后我们看看这个函数OleInitialize返回值在MSDN中的定义是这样的

如果调用成功,返回S_OKS_OK=0
如果调用失败,返回S_FALSES_FALSE==1
其他错误返回特定的错误类型,一般这些错误都是小于0

所以这个jl语句的意思就是,如果返回的是除了S_OKS_FALSE之外的错误,那就直接跳转退出程序

图片

然后如果没有跳转结束,便是这样的一个代码片段

这里IDA将这个CoCreateInstance这个函数的返回COM对象标记为了ppv,然后按照书中的做法,我们为了确定这个程序是调用了那个COM对象,所以我们要去查看riidrclsid是对应了那个功能

我们双击就可以查看这两个变量真正的值是多少了

图片

riid的值是这样的

然后rclsid是这样的

图片

所以我们就开始查呗,书中是提到这个东西在的位置的,我们通过打开注册表编辑器可以看到,CLSID在注册表中的具体位置是在这里

HKLM\SOFTWARE\Classes\CLSID\

还有

HKCU\SOFTWARE\Classes\CLSID

我们可以先看第一个位置HKLM\SOFTWARE\Classes\CLSID\的地方

图片

这里有很多的CLSID,我们来找我们IDA中发现的值

图片

第一个数是2DF01h

图片

我们最后可以找到这个值的位置

LocalServer32就会发现这个CLSID会调用什么函数

图片

这里的数据显示的是"C:\Program Files\Internet Explorer\iexplore.exe"也就是IE浏览器的可执行文件在的地方

然后我们再去找找这个位置有什么HKCU\SOFTWARE\Classes\CLSID

不过我们并没有在这个地方发现这个CLSID

图片

然后我们就查明,这个函数调用了什么程序

图片

然后如果创建那个COM对象没失败,便开始调用这一串代码

这里就是通过调用这个COM对象,来将参数也就是那个网址传进去,然后便是打开一直到http://www.malwareanalysisbook.com/ad.htmlIE窗口

2.这个程序的目的是什么?

解答: 打开一个导向http://www.malwareanalysisbook.com/ad.html网页的IE浏览器

3.这个程序什么时候完成执行?

解答: 打开完IE导向那个网址之后就结束了

本文完

isinstance
关注
专栏目录
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1591
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 217
恶意代码实战详细分析
恶意代码分析实战实验Lab 7-2 +
m0_37442062的博客
05-06 467
Lab 7-2静态分析 IDA PRO动态分析1.这个程序如何完成持久化驻留?2.这个程序的目的是什么?3.这个程序什么时候完成执行?参考 静态分析 IDA PRO 字符串信息很少,但是没有加壳。 使用strings工具 书上说这个是Unicode字符。 导入函数 和COM对象有关。CoCreateInstance和OleInitialize函数使用COM功能。 主函数 该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的CO
恶意代码分析实战07-02
Yale的博客
09-19 4182
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
Lab 7-2
bangren3304的博客
01-17 147
Analyze the malware found in the file Lab07-02.exe. Questions and Short Answers How does this program achieve persistence? A: This program does not achieve persistence. It runs once and then exi...
恶意代码分析实战Lab0702
ACdream
02-25 312
动态运行程序行为:自动打开了网页:www.malwareanalysisbook.com/ad.html静态分析使用IDA标红线的这两个API是针对COM(组件对象模型)进行的操作不清楚IDA对于CLSID和IID格式的解读,在systemlookup网址没有查询到对应的查看对应的strings也没有找到与动态执行相关的URL,psz就是这个URL的值(UNICODE,可能格式不同导致IDA没有识...
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 692
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 668
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实战》第7章 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 1664
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7章 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 740
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
恶意代码分析实战 7 WinDbg
农夫果园好好喝的博客
01-24 1799
(好奇怪,没看到3)分析Lab 10-01.sys文件,发现导入表只有三个函数,第一个函数是KeTickCount,剩下两个函数是RtlCreateRegistry和RtlWriteRegistryValue,这告诉我们驱动可能访问了注册表。通过IO通信给驱动发送了控制码0ABCDEF01h,接下来的几个函数初始化了COM对象,并在每30s执行一次某个函数,这个函数有一个参数是这个网址字符串,经过在虚拟机运行程序可知,这是每30s弹出一个广告网页。当打开驱动文件,移动到它的入口时,看到如下代码
恶意代码分析实战 Lab16-02
wangtiankuo的博客
08-30 668
知识点: TLS回调 TLS回调被用来在程序入口点执行之前运行代码。若可执行程序的PE头部包含一个.tls段,则可能此程序使用了反调试技术。 分析报告 1. 样本概况 样本名称Lab16-02.exe,编译器为Microsoft Visual C++ v6.0。 1.1样本信息 样本名称:Lab16-02.exe MD5值: E88B0D6398970E74DE1DE457B971
恶意代码分析实战 Lab 7-3 习题笔记
isinstance的博客
09-30 2750
Lab 7-3问题1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?解答: 我们还是先开始按静态分析来开始我们的分析(这里同时要分析.dll和.exe)我们会发现这里有一个CreateFileA和CopyFileA这两个函数,说明会创建一个文件和复制一个文件,这个创建文件可能会是什么日志之类的,复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF
利用注册表实现持久化的恶意代码分析
writeP的博客
04-08 486
代码sha256:8ea59c1e3054bc49c2b358eb73ccb59e5e662499bbc97d727c308291b270e06d 文件类型:doc文档 恶意代码类型:vba 在此文档的vb脚本中再次生成了一个xsl的文件,利用Msxml2.XSLTemplate.3.0对其进行解析: xsl文件sha256:2946CA5BCB02F440634...
恶意代码分析实战Lab0701
ACdream
02-25 478
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
OleInitialize、CoInitialize、CoInitializeEx和AfxOleInit()区别
h258384667的博客
06-21 1332
CoInitialize CoInitializeEx 是用来初始化COM运行环境的。 OleInitialize是初始化Ole的运行环境,Ole是在Com的基础上作的扩展,是ActiveX运行的基础,OleInitialize肯定会调用CoInitialize。 CoInitialize、CoInitializeEx都是windows的API,主要是告诉windo
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值