Lab12-01-恶意样本分析-简单进程注入分析

最新推荐文章于 2024-04-14 11:49:39 发布
最新推荐文章于 2024-04-14 11:49:39 发布
阅读量513 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106265214
版权
本文详细介绍了恶意样本Lab12-1.exe和Lab12-01.dll的进程注入分析过程。程序运行时会循环弹出对话框,通过逆向分析发现其通过枚举进程并注入DLL实现隐藏行为。要关闭弹窗,需定位并patch注入进程。注入流程包括查找目标进程、分配内存、写入代码、执行函数等步骤。
摘要由CSDN通过智能技术生成

简单进程注入分析

样本来自《恶意样本分析》Lab12-1.exe Lab12-01.dll

运行程序后,发生了什么?

观察程序运行信息,会弹出一个对话框提示Press Ok to reboot,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对话快之后就等待,如果对话框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。

在这里插入图片描述

哪个进程被注入了

这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序。分析后可知,explore.exe被注入加载dll

如何关闭弹窗

需要逆向分析并做patch掉弹框程序,将被注入的进程关闭即可。

程序是如何工作的

首先将样本拖入ida分析,来到main入口,程序先获取获取可执行程序的路径,并拼接了currentpath\to\Lab12-07.dll的完整路径,这时候通过EnumProcesses来枚举进程,如果枚举失败,则返回装填1退出,如下

最低0.47元/天 解锁文章
LoopherBear
关注
专栏目录
恶意样本分析-Lab16-01 反调试1分析
LoopherBear的博客
05-25 537
恶意样本分析-Lab16-01 反调试1分析 这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求 在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录 静态分析 静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析分析汇编指令,便于在x64dbg上分析时快速定位。 由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令
一个恶意样本分析
信息安全
08-09 4269
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析报告
sxr__nc的博客
03-20 622
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
GO恶意样本实例分析
zhangge3663的博客
01-15 760
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
恶意软件样本行为分析
weixin_49816179的博客
12-17 140
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 218
恶意代码分实战详细分析
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1516
12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1361
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
病毒分析教程第七话--进程注入分析(下)
安全杂货铺
04-10 476
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-4 本节实验使用样本Lab12-04.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到svchost.exe中。 ...
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
最新发布
2401_83621541的博客
04-14 765
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 1008
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
病毒分析教程第七话--进程注入分析(上)
安全杂货铺
02-14 936
进程注入分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-1 本节实验使用样本Lab12-01.exe和Lab12-01.dll。 在你运行恶意代码可执行文件时,会发生什么? Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数,不难想象它进行了进程注入...
简单恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1205
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1437
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2335
NDSS2021一篇挖矿二进制检测的文章阅读
利用AI+大数据的方式分析恶意样本(三十九)
至臻求学,胸怀云月
01-18 4860
一篇USENIX2022 关于机器学习用于安全场景的十大缺陷文章阅读
恶意样本分析手册——理论篇
iopoint的专栏
07-27 732
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
利用AI+大数据的方式分析恶意样本(四十)
至臻求学,胸怀云月
07-08 2864
一篇ACSAC2020通过对binary静态相似性分析测量iot上malware家族谱系的文章
恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值