恶意代码分析实战Lab0702

最新推荐文章于 2021-09-19 22:10:18 发布
最新推荐文章于 2021-09-19 22:10:18 发布
阅读量301 收藏
点赞数 1
分类专栏: 恶意代码分析实战 文章标签: 恶意代码分析实战课后实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/79368392
版权

动态运行程序行为:自动打开了网页:www.malwareanalysisbook.com/ad.html

静态分析使用IDA

标红线的这两个API是针对COM(组件对象模型)进行的操作

不清楚IDA对于CLSID和IID格式的解读,在systemlookup网址没有查询到对应的

查看对应的strings也没有找到与动态执行相关的URL,psz就是这个URL的值(UNICODE,可能格式不同导致IDA没有识别)

在Imports中查看对应的API函数,也没有找到与打开网页相关的

于是想到用PEID:VC++6.0

strings


然后可以实现个啥呢:在winhex之中找到这个字符串,任意修改如下:


问题1:如何实现持久化驻留

没找到~~~


问题2:程序目的

打开URL


问题3:程序完成执行的时间

没有找到特别明显的时间函数。打开完网页程序应该就算结束了


这几个问题回答的好没有水平。。。

关键是没有分析清楚这个程序是怎么打开这个URL的


PLUS:

首先是这个CLSID和IID到底是什么(书上146页)

CLSID:代表COM组件中的类

IID:代表COM组件中的接口

这几个值就是书上COM举例的哈~

CLSID:{0002DF01-0000-0000-C000-000000000046},表示Internet Explorer

(这个值出现了很多次,需要多次查询才能找到这个)

IID:{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E},表示IWebBrowser2


来自书后的答案:

调用Navigate函数之后,会执行一些清理函数,然后程序终止。

这个程序不会持久化的安装它自己,并且也不会修改系统。仅仅简单地显示一个一次性的广告。

当遇到如此简单的程序时,应该考虑是可疑的(是不是有其他没有分析到的地方)。也可能是随着额外的恶意代码一起打包,它只是其中的一个组件而已。

Flying_Fatty
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战(开坑) LAB1[含实验链接]
Peanuts
04-01 1803
恶意代码分析实战-实验 lab1-1 网站报告分析 上传分析www.virustotal.com pe工具使用分析时间 使用petools工具查看 查壳分析 利用PEID工具查看 调用的函数分析 lab1.exe调用了FindFirstFile``FindNextFile``CopyFile 很有可能病毒在搜索并且尝试复制文件。 查看dll文件,此处调用了CreateProcess``S...
恶意代码分析实战 Lab 7-2 习题笔记
isinstance的博客
09-26 1341
Lab 7-2问题1.这个程序如何完成持久化驻留?解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看 我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看第一个函数CoCreateInstance这个函数是这样的看
恶意代码分析实战07-02
Yale的博客
09-19 4169
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战实验——Labs-03
草草君
09-08 494
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,结合该章节的内容而设计的,非常值得每一位读者认真练习。但是由于该练习题库在国内网站上并不提供,就算有也是可能需要积分之类,并且还不能保证该题库没有被加载额外的病毒木马。于是我在作者的网站上下载了这一套题库,提供给各位有兴趣的读者。需要特别说明的是,由于该练习题本身就是病毒木马,所以大家一定要在虚拟机的环境下执行,并且在解压缩时会被杀软报毒,也请给位留意。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
南开大学-恶意代码分析实验报告合集
最新发布
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
检索 COM 类工厂中 CLSID 为 {00024500-0000-0000-C000-000000000046} 的组件失败的解决方案
热门推荐
changyj的博客
12-01 8万+
       工作过程中,需要在后台C#中操作Excel,编程调试时没有问题,但是发布后出现以下错误:          错误信息:检索 COM 类工厂中 CLSID 为{00024500-0000-0000-C000-000000000046} 的组件失败,原因是出现以下错误:80070005 拒绝访问。 (异常来自HRESULT:0x80070005 (E_ACCESSDENIED))。 ...
paip.InternetExplorer.Application打开非IE的解决方法
attilax的专栏
05-20 8342
paip.InternetExplorer.Application打开非IE的解决方法 作者Attilax ,  EMAIL:1466519819@qq.com ,112237553@qq.com 来源:attilax的专栏 地址:http://blog.csdn.net/attilax 现象: 每次使用这个COM对象时打开360浏览器,而不是IE。。设置
InternetExplorer.Application在注册表中的位置以及修改权限
sonwing的博客
05-29 3406
一,首先使用windows键加r键打开运行,并输入regedit点击确认后打开注册表。 二,我们在注册表中进行查找InternetExplorer.Application 三,查找后发现在这种都是数字加字母的下面有个LocalServer32在这里存储的数据是ie的地址(我的是"%ProgramFiles%\Internet Explorer\iexplore.exe",不同的电脑可能不一样)不一定能直接查到LocalServer32这个位置。后面有一点关于这个的自己的分析。查不到的话参考后面。我需要的
恶意代码分析实战07-01
Yale的博客
09-19 591
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题 Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留) Q2.为什么这个程序会使用一个互斥量? Q3.可以用来检测这个程序的基于主机特征是什么? Q4检测这个恶意代码的基于网络的特征是什么 Q5这个程序的目的是什么 Q6这个程序什么时候完成执行 先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数 ​ 比如上图的openscmanager和createService,starts
A IE registry related change in Windows Server ...
chunjiandie8448的博客
12-13 80
I found some changein the registry about IE: Under thekey "HKEY_CLASSES_ROOT\Wow6432Node\{0002DF01-0000-0000-C000-000000000046}\LocalServer32...
了解并运行 Internet Explorer 保护模式
Bruce Che 的专栏
07-02 2766
Marc Silbey Peter Brundrett Microsoft Corporation 适用于: Windows Vista 及更新版本中的 Microsoft Internet Explorer 7 注意: 本文档是预备文档,随时可能变更。 摘要 在 Microsoft Windows Vista 中,Microsoft Internet Explo
1_组件对象模型COM_调用
leibso的博客
03-15 405
文章目录前言使用CLSD、IID,以及COM 对象的使用调用一个COM函数扩展:1 注册一个CLISD 的时候,ThreadModel 的意义? 前言 摘抄 恶意代码分析实战 书中的易遗忘部份,以便以后参考 ​ 微软组件对象模型 COM 是一个接口标准,它使得不同软件在不知道其他组件代码的规范时,相互之间可以进行调用。分析使用COM 的恶意代码时,你需要判断那段代码会被作为一个COM 函数进行...
【已解决】C#中集成DLL库到自己的exe程序中
mosangbike的专栏
01-11 7474
在路上 > 工作和技术 > ProgrammingLanguage > C# > 【已解决】C#中集成DLL库到自己的exe程序中 【已解决】C#中集成DLL库到自己的exe程序中 2013 年 4 月 11 日 上午 11:09crifan已有20537人围观5个评论 【问题】 已经实现了下载ST歌曲的小程序,但是由于其中注册快捷键的功能,需要调用额外的一个d
恶意代码分析实验(一)
shannow_123的博客
04-01 1412
记几个简单的恶意代码分析实验 Lab01-02.exe 检验程序是否有壳 发现加了upx壳,我们用工具脱壳 得到文件后将文件拖入IDA反编译 首先查看字符串,发现可疑字符http://www.malwareanalysisbook.com 猜测该网址为恶意网站,该程序的操作为访问该恶意网址 对代码逻辑的详细分析如下: int sub_401040() { SC_HANDLE v0; // es...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值