恶意代码分析实战Lab0304

最新推荐文章于 2023-05-17 23:54:19 发布
最新推荐文章于 2023-05-17 23:54:19 发布
阅读量593 收藏 1
点赞数
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后习题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/79250908
版权

首先查壳,VC++

静态分析IDA

函数402020分析:

从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020

可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能

当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。

如果开发者为了防止别人的破解,就需要在自己开发的层面上,给自己和破解者施加更多的难题,本身就是一件竞争起来很好玩的事情。


根据menu,4019E0为UploadFunc

关键API提示的很明显,新建文件,通过SOCKET通信来复制并写入文件


401870为DownloadFunc


401790是CmdFunc


然后把其他的函数块浏览一下,基本都是辅助功能了,比如401D10

利用随机数,产生数字或者字母


猜测恶意代码的功能:

连接远程服务器,该程序作为木马程序客户端,负责与远程相连接,可以下载、上传、并提供本地的cmd命令行。


问题1:运行程序时发生了什么

双击程序运行,文件夹的该程序被自身删除了


问题2:为什么不能动态分析,其他方式运行程序

拖入OD中是正常运行的,其他的动态静态分析可以结合注册表和IceSword来分析


然后从书中的答案中看到

恶意代码会使用cmd.exe del来删除自身

"C:\WINDOWS\system32\cmd.exe" /c del C:\DOCUME~1\ADMINI~1\Desktop\Lab03-04.exe >> NUL



剩下的实验部分需要等到第九章0901来做~按照顺序做会比较好吧


https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-3-4/

https://debug.fail/2015/10/practical-malware-analysis-lab-walkthrough-3-4/


Flying_Fatty
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战课后习题
11-04
恶意代码分析实战课后习题
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 832
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
Lab03-03.exe恶意代码分析
weixin_51758733的博客
05-17 160
Lab03-03.exe恶意代码分析
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 3981
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1588
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
恶意代码分析实战3-34
Yale的博客
09-19 370
本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题 Q1使用process explorer工具进行监视时,注意到了什么 Q2可以找出任何的内存修改行为吗 Q3恶意代码在主机上的感染特征是什么 Q4该恶意代码的目的是什么 依次分析。 开启process explorer,然后启动程序lab03-03.exe 此时会发现process explorer一闪而过 ​ 该程序创建了svchost.exe之后,然后自身进程就消失了,将svch
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
2019 CG Lab 03 -Lab 04_nodejs_TheFirst_ComputerGraphics_
10-03
The lab discuss the problem faced when image is loaded without http protocol and then describe in step by step manner that how to run first node js application for graphics.
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1224
恶意代码分析实战Lab03-01.exe
恶意代码分析实战Lab03——04.exe(详细分析
sxr__nc的博客
12-26 964
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1103
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战12-04
Yale的博客
09-20 774
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
Lab 3-4
bangren3304的博客
01-09 182
Analyze the malware found in the file Lab03-04.exe using basic dynamic analysis tools. (This program is analyzed further in the Chapter 9 labs.) Questions and Short Answers What happens when you...
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 3991
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战Lab01——0304
sxr__nc的博客
12-21 788
第一步:查看文件是否加壳: 加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中: 第二步:将程序,用IDA打开进行详细分析: 第三步:分析main函数; 可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了: 嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...
恶意代码分析实战—实验3-4
qq_43481350的博客
09-01 313
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值