恶意代码分析实战_03动态分析基础技术_实验

已于 2024-07-24 15:26:36 修改
阅读量439 收藏 9
点赞数 4
分类专栏: 恶意代码分析 文章标签: 网络安全
于 2024-05-13 20:19:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitsch0x97/article/details/138462718
版权

0. 概述

在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从GITHUB下载。

1. Lab 3-1

使用动态分析基础技术来分析Lab03-01.exe文件中发现的恶意代码。

1.1 找出恶意代码的导入函数与字符串列表。

首先使用静态分析技术,查看恶意代码的PE文件结构和字符串列表。通过图1可以看出,恶意代码只有一个导入函数ExitProcess。这个程序可能被加壳,导入函数可能是在运行时刻被解析的。 

图1. 通过PEview查看导入函数

我们预期是看不到明文字符串的,因为导入函数表让我们详细这个文件是被加过壳的,然而这里又有很多有趣的字符串,比如注册表位置、域名、WinVMX32、VideoDriver、vmx32to64.exe。那让我们看看动态分析基础技术是否能告诉我们这些字符串是如何被使用的。

图2. 通过IDA PRO查看字符串

1.2 这个恶意代码在主机上的感染迹象特征是什么?

在运行恶意代码之前,我们先运行procmon工具,并清除所有事件(通过ctrl+x清除事件,通过ctrl+e捕获事件),如图3所示。

图3. 清除Process Monitor所有事件

启动Process Explorer,用于捕获更多恶意软件的异常行为,如图4所示。

图4. 通过Process Explorer监视恶意软件异常行为

配置一个虚拟网络,包括ApateDNS、Netcat(监听端口80和443),以及用于网络数据包捕获的Wireshark。其中,ApateDNS用于查看恶意代码发出的DNS请求,并针对上述DNS请求给出虚假的DNS响应。

kitsch0x97
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_03动态分析基础技术
kitsch0x97的博客
05-05 775
动态分析就是在运行恶意代码之后进行检查的过程。动态分析技术恶意代码分析的第二步,一般在静态分析技术进入一个死胡同的时候进行,比如恶意代码进行了混淆,或者分析师已经穷尽了可用的动态分析技术动态分析包括在恶意代码运行时刻进行监控,以及在恶意代码运行之后来检查系统情况。与静态分析不同,动态分析能够让你观察到恶意代码的真实功能,一个行为存在于二进制程序中,并不意味着它就会被执行。动态分析也是一种识别恶意代码功能的有效方法。
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战——静态分析基础技术
最新发布
A1_3_9_7的博客
12-25 1232
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战(带目录)
10-05
本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有...
Python-Python机器学习之恶意代码聚类分析
08-11
通过以上内容,我们可以看到Python机器学习在恶意代码聚类分析中的应用,不仅涉及到数据科学的基本方法,还包括了网络安全实战技巧。不断学习和实践这些知识,将有助于提升我们的威胁检测能力和防御策略。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,结合该章节的内容而设计的,非常值得每一位读者认真练习。但是由于该练习题库在国内网站上并不提供,就算有也是可能需要积分之类,并且还不能保证该题库没有被加载额外的病毒木马。于是我在作者的网站上下载了这一套题库,提供给各位有兴趣的读者。需要特别说明的是,由于该练习题本身就是病毒木马,所以大家一定要在虚拟机的环境下执行,并且在解压缩时会被杀软报毒,也请给位留意。
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 635
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 207
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1181
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 410
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 954
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 474
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 470
0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
移动恶意代码攻防实践:深度解析与对策
本文档主要涵盖了移动恶意代码的攻防实践,由安天实验室武汉研发中心的安全研究员乐东撰写,主要研究领域为移动安全和逆向工程。文档深入探讨了移动恶意代码的新趋势、检测技术和对抗现状,并详细介绍了移动恶意代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值