恶意代码分析实战_05 IDA Pro_实验

已于 2024-05-27 22:18:05 修改
阅读量941 收藏 16
点赞数 19
分类专栏: 恶意代码分析 文章标签: 网络安全
于 2024-05-12 09:57:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitsch0x97/article/details/138654666
版权

0. 概述

在这个实验使用Lab05-01.dll,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从GITHUB下载。

1. Lab 5-1

只用IDA Pro分析文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以忽略这些问题,而将精力集中在逆向工程恶意代码上。

Q1:DLLMain的地址是什么?

将Lab05-01.dll在IDA Pro中进行加载,在Function窗口中查找DLLMain函数并双击该函数。将IDA View-A转换为文本视图,由下图可知DLLMain的地址为0x1000D02E

Q2:使用Imports窗口浏览到gethostbyname,导入函数定位到什么位置?

在Imports窗口浏览gethostbyname,发现该函数的所在节为.data,地址为100163CC,序号为52,所属的库为WS2 32如下图所示。

Q3:有多少函数调用了gethostbyname?

在反汇编窗口选中gethostbyname函数,通过ctrl+X查看交叉引用列表,窗口最底下的“1/18”代表该函数存在9处交叉引用(一些版本的IDA Pro会计算两次交叉引用,类型p是被调用的引用,类型r是被读取的引用)。仔细检查交叉引用表,会发现实际上在5个不同的函数中调用了该函数。

Q4:将精力集中在位于0x10001757处的gethostbyname的调用,你能找到那个DNS请求将被触发?

gethostbyname方法用了一个参数,应该是一个包含域名的字符串。通过下图可以发现,EAX(通用寄存器)首先被off_100190

最低0.47元/天 解锁文章
kitsch0x97
关注
  • 19
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反编译工具:IDA Pro,用于分析恶意软件的代码逻辑和行为
meiwanlanjun的博客
04-14 615
综上所述,IDA Pro作为一款功能强大的逆向工程工具,具有直观的图形化界面、丰富的功能和插件支持,以及广泛的应用领域,是分析恶意软件和进行逆向工程任务的首选工具之一。:IDA Pro提供了强大的逆向工程功能,可以将目标文件反汇编为汇编代码,并提供高级的反汇编特性,使得分析者能够深入理解恶意软件的代码逻辑和执行流程。:IDA Pro的开发团队不断更新和改进软件,增加新的特性和改进现有功能,以满足用户对于逆向工程和恶意软件分析的不断变化的需求。
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战-通过IDA恶意代码进行静态分析(Lab05-01.dll)
maluxiao123的博客
10-19 1317
恶意代码分析实战,Lab05-01.dll
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-20 4057
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll 1.实验目的 利用IDA Pro分析Lab05-01.dll中发现的恶意代码,回答以下问题: DLLMain的地址是什么? 使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 有多少函数调用了gethostbyname? 将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗? IDA Pro 识别了在0x10001656处的子过程中的多少个局部变量?
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
yy10992的专栏
06-14 743
main_0中,按空格键切换视图模式,阅读主函数核心代码,如截图所示主函数主要代码结构为(条件分支 ),如果输入错误将输出提示语句(try agin!1)双击运行恶意代码Crackme.exe,提示语句为haha.Crack me,任意输入数据,提示语句为:try again!4)返回到主调函数,判断比较结果是否为0,当比较结果为(0)破解成功。找到程序条件跳转逻辑可知,如下代码决定了程序需否跳转到Congratulation处,为此要想输入错误密码也可成功,只需将(),破解需要输入的正确的字符串为(
恶意代码分析实战13章-IDApro插件entropy_plugin.plw
09-04
恶意代码分析实战13章-IDApro插件findcrypt.plw..
恶意代码分析实战13章-IDApro插件findcrypt.plw
09-04
恶意代码分析实战13章的IDApro插件用于识别加密算法。。
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其...本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,..., 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战_05 IDA Pro
kitsch0x97的博客
05-10 944
IDA Pro对一个程序进行初始反汇编时,字节偶尔会被错误地分类,代码可能被定义为数据,数据也可能被定义为代码。在反汇编窗口中最常用地重新定义代码地方式,是按U键来取消函数、代码或数据的定义。当你取消代码定义时,后续字节会被重新格式化为一个原始字节列表。可以按C键定义原始字节为代码,按D键定义原始字节为数据,按A键定义原始数据为ASCII字符串。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
IDA Pro分析Lab05-01.dll
weixin_51758733的博客
05-21 281
IDA Pro分析Lab05-01.dll
恶意代码实战分析Lab05-01
王陈锋的博客
06-10 739
Lab05-01 只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。 1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置 或者点击图中红色区域 然后会出现viewB 然后可以右键点击 便到了dllmain的开头地址。 2.使用Imports窗口并浏览到gethostbyna......
恶意代码分析实战 3 IDA Pro
农夫果园好好喝的博客
01-24 1235
双击进入sub_100038EE函数查看,发现其调用了了malloc函数创建了内存空间,然后又调用了send函数,最后调用了free函数释放内存空间,所以猜测可能是对注册表SOFTWARE\Microsoft\Windows\CurrentVersion进行了修改或查询操作,然后再将结构发送出去。该函数调用了GetSystemDefaultLangID和send,该信息告诉我们,该函数可能通过socket发送语音标志,因此,右击函数名,给他一个更有意义的名字,例如send_languageID。
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 892
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
恶意代码分析实战-lab5-1
qq_41810304的博客
07-18 1205
恶意代码分析实战》这本书简要的讲了一下IDA咋用,虽然以前做CTF也用过,但是只是一些简单的题,所以只会Ctrl+F,搜索“main”,然后F5,看伪代码。经过一段时间的简单学习,好像会一点点了,但是真的只会一点点。即便如此,我还是记录一下这次的学习吧。 在这学习之前,我还是要瞎扯几句。作为初学者,我按照书上的注意事项,选择了binary方式反编译,然而,啥也没有,连导出和导入函数都没有。果然初学者还没有理解透的情况下还是默认反编译吧。文中多多少少会有一些错误的地方,请各...
Lab 5-1
bangren3304的博客
01-10 460
Analyze the malware found in the file Lab05-01.dll using only IDA Pro. The goal of this lab is to give you hands-on experience with IDA Pro. If you’ve already worked with IDA Pro, you may choose ...
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1349
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
ida pro 伪代码分析
06-08
IDA Pro 伪代码分析是一种将反汇编代码转换为高级语言伪代码的技术。它可以帮助分析人员更好地理解程序的逻辑和功能,并提高代码分析的效率。 IDA Pro 的伪代码分析功能可以将反汇编代码转换为 C 语言风格的伪代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值