恶意代码分析实战Lab0603

最新推荐文章于 2022-10-23 19:51:30 发布
最新推荐文章于 2022-10-23 19:51:30 发布
阅读量178 收藏
点赞数
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/79335325
版权

问题1、2、3、4:分析main函数


多的函数是401130

使用的参数是lpExistingFileName,a1是一个标记变量,以switch为分类进行操作

根据不同的API函数功能,a1不同取值

a1=‘a’:创建新目录

a1=‘b’:复制文件

a1=‘c’:删除文件

a1=‘d’:注册表操作

a1=‘e’:睡眠100s

其他值:输出“Error 3.2: Not a valid command provided”


问题5、6:恶意代码的本地特征以及功能目的


本地特征是各种特征字符串


注册表的修改以及本地文件的更新:C:\\Temp\\cc.exe

在0602程序的基础上,实现了对木马功能的实现


Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1561
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1278
Lab3-2 使用动态分析基础技术来分析Lab03-02.dll文件中发现的恶意代码。 1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1130
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战Lab0901
ACdream
02-27 465
和0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 861
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1340
恶意代码分析实战Lab03-01.exe
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1810
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战Lab3
weixin_47038938的博客
04-10 1303
第三章动态分析基础技术恶意代码分析实战Lab3-1Lab3-21.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 1.操作场景:VMware workstation 15.5 + Windows7 VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519 2.实验工具: ProcessExplorer:https://d
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
最新发布
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 191
恶意代码实战详细分析
UPX脱壳
ACdream
01-23 4086
UPX脱壳
WINDOWS网络API总结
ACdream
06-16 2914
一:WinSock APIWSAStartup,getaddrinfo,socket,connect,send,recv,WSAGetLastError二:WinINet APIInternetOpen:初始化一个应用程序,以使用 WinINet 函数InternetConnect:建立 Internet 的连接,成功返回非0。如果返回0。要InternetCloseHandle释放这个句柄Int...
FSG脱壳
ACdream
01-25 1263
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
Combat-lab深度解析:静态路由详解与实战
Combat-lab,作为一家专注于企业级IT项目实战的培训机构,提供了详细的静态路由讲解,帮助网络工程师深入理解和掌握这一技术。 静态路由的优点在于其简单性和效率。对于小型网络或者网络结构相对固定的环境,静态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值