恶意代码分析实战Lab0302

最新推荐文章于 2021-11-02 22:56:53 发布
最新推荐文章于 2021-11-02 22:56:53 发布
阅读量289 收藏 2
点赞数
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后习题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/79193123
版权

同样先查壳


然后查看字符串

接下来使用IDA进行分析,因为是未加壳的代码,程序功能可以很轻松的通过程序逻辑以及调用的API函数来分析

10003415函数块分析


看到这些关键函数就知道了功能的

首先,InternetOpen,InternetConnect是使用HTTP协议进行互联网的访问操作

HttpOpenRequest,HttpSendRequest是http请求操作,可能是从网站是查询或者下载某些资源

InternelReadFile是从远程URL上读取服务端文件

GetTempPath和GetLongPathName是读取本地的目录路径

fwrite和fflush是往本地文件中写入

所以这个函数的主要功能:从恶意代码链接的网页上读取某个恶意文件,并且将其写入本地指定的某个目录中

有些值是常量字符串也是可以在程序的string列表中找到的,比如:

szVerb = ‘get’,szVersion = ‘HTTP/1.1’


10004317函数块分析:

这里分析下,当a1是大写字母,要减去‘A’,范围就是0 - 25,当a1是小写字母,要减去‘G’,范围就是26 - 51,当a1是数字,要a1 + 4,范围就是52 - 61

这里就可以理解为数字字母与0 - 61的一一对应,作者设计的一种加密解密关系

查看这个函数被其他那些函数调用过

这样可以基本确认,只要涉及到编码解码的时候,都会用到这个函数


10004706函数块分析(Install)

这里的SubKey是这个

这里全是新建注册表键值的操作

既然是DLL,就会有导出的功能,IDA的Exports分析一下

这里就可以使用书上的方法,运行这个dll


然后利用工具:process monitor

发现事件在不断增长,且全部都是与网页相关的访问,不断对注册表进行访问和添加


开启了什么服务确实没有分析出来,从这篇分析报告里找到的思路

http://blog.csdn.net/isinstance/article/details/77839928

Flying_Fatty
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1278
Lab3-2 使用动态分析基础技术来分析Lab03-02.dll文件中发现的恶意代码。 1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4045
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
python exe 反编译_原创干货 | 【恶意代码分析技巧】02exe_python
weixin_39820185的博客
11-27 438
由于恶意代码分析系列第一篇发出后,被粉丝强烈催更,小编不得不加急为大家更新了第二篇,作者大大还在持续编写中,这次的系列会非常的丰满哦,请大家持续关注公众号,第一时间收到系列更新哦!1、python虚拟机计算机发展至今已经有了机器语言、汇编语言和高级语言三种。计算机能够直接识别的是机器语言,不同的CPU使用的机器语言不是完全相同的;汇编语言本质上是和机器语言是一样的,只不过汇编指令...
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2949
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意代码分析实战课后习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
最新发布
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,结合该章节的内容而设计的,非常值得每一位读者认真练习。但是由于该练习题库在国内网站上并不提供,就算有也是可能需要积分之类,并且还不能保证该题库没有被加载额外的病毒木马。于是我在作者的网站上下载了这一套题库,提供给各位有兴趣的读者。需要特别说明的是,由于该练习题本身就是病毒木马,所以大家一定要在虚拟机的环境下执行,并且在解压缩时会被杀软报毒,也请给位留意。
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战 Lab 3-1 习题笔记
isinstance的博客
08-29 5329
Lab 3-1问题1.找出这个恶意代码的导入函数于字符串列表。解答: (动态分析建议用winxp pro 32bit,下面你就知道为什么这么建议了)我们用Dependency Walker会发现这个程序只有很少的导入函数,第一是怀疑是不是加壳了然后我们PEiD来看,的确是加壳了然后就开始尝试脱壳了万能脱壳这次不是万能的了目前我们知道的唯一个导入函数就是ExitProcess然后查看一下字符串 前面
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4007
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 2985
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
利用python分析恶意代码pdf_利用Python开源工具分析恶意代码
weixin_39555320的博客
12-05 711
1 开源软件与Python环境11.1 关于开源软件2如果管理人员熟悉开源软件21.2 Python简介31.3 搭建Python环境与程序发布31.3.1 在Windows下搭建Python环境31.3.2 使用Eclipse与PyDev搭建Python开发环境71.3.3 使用pyinstaller发布程序121.4 从Github站点下载开源工具151.5 安装Python模块171.6 小...
恶意代码分析实战Lab1302
ACdream
06-10 248
main -> 1851 -> 1070,181F,1000碰到了好多不认识的WINAPI函数GetSystemMetrics:该函数只有一个参数,称之为「索引」,这个索引有75个ID,通过设置不同的标识符就可以获取系统分辨率、显示区域的宽度和高度、滚动条的宽度和高度等。来自MSDN~~~获取屏幕的宽度和高度GetDesktopWindow:该函数返回桌面窗口的句柄。桌面窗口覆盖整个屏...
恶意代码分析实战-行为监控
weixin_30520015的博客
01-11 296
进程监视器 ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。 通过Filter-Filter打开过滤菜单,过滤文件行为 查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。 进程浏览器 Process Explorer(进程浏览...
Combat-lab深度解析:静态路由详解与实战
Combat-lab,作为一家专注于企业级IT项目实战的培训机构,提供了详细的静态路由讲解,帮助网络工程师深入理解和掌握这一技术。 静态路由的优点在于其简单性和效率。对于小型网络或者网络结构相对固定的环境,静态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值