![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒分析
LoopherBear
这个作者很懒,什么都没留下…
展开
-
使用x64dbg调试dll程序
使用x64dbg调试dll程序这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。分析dll程序的启动方式这个原创 2020-05-26 17:55:19 · 6919 阅读 · 0 评论 -
Lab16使用x64dbg调试带参数程序
Lab16使用x64dbg调试带参数程序在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式调试带参数启动的.exe程序调试带参数启动的'.dll'程序 看下一篇文章今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就原创 2020-05-26 17:51:42 · 3674 阅读 · 0 评论 -
恶意样本分析-Lab16-01 反调试1分析
恶意样本分析-Lab16-01 反调试1分析这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录静态分析静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析,分析汇编指令,便于在x64dbg上分析时快速定位。由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令原创 2020-05-25 19:04:17 · 501 阅读 · 0 评论 -
恶意样本分析--16Windows中一些常用的反调试记录
Windows中一些常用的反调试记录这里笔记会记录一些关于Windows中的反调试技术的汇编代码,方便后续分析程序时回来查看。反调试技术包括Windows APIs 调用其他手段检测调试器Windows APIsIsDebuggerPresent这个函数主要检测的是PEB的IsDebugged标志,如果返回非零值则表示被调试CheckRemoteDebuggerPresent这个函数和IsDebuggerPresent函数一样也是检测PEB->IsDebugged状态值, 不过还可原创 2020-05-25 18:09:39 · 570 阅读 · 0 评论 -
Lab15 恶意样本分析-常用的反汇编总结
Lab15-01 常用的反汇编总结在《恶意代码分析实战》的第十五章总结了一些常见的反汇编案例,包括线性返回编译器和非线性返回编译器的对抗。这里总结了其中提到的几个原理,每个都配合着实验了说明,这篇笔记只是我在做分析时的一些总结,方便后续回来看。相同目标跳转指令问题在x86汇编指令中,无条件跳转指令jmp是跳转指令之一。在一些恶意样本中会针对的插入一些指令来完成这个无条件跳转,如下从上面的指令看处,jz jnz都是跳转到了call的下一条指令,但是这里有一个问题,如果跳转指令要跳转到一个函数,不可原创 2020-05-22 19:03:25 · 670 阅读 · 0 评论 -
Windows7 64bit安装IDA pro 7.0插件整理
Windows7 64bit安装IDA pro 7.0插件整理对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。FindCrypt3标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara)安装安装python2.7.11安装idasdk7.0到ida安装目录将sdk复制到安原创 2020-05-21 18:46:31 · 1915 阅读 · 0 评论 -
Lab12-01-恶意样本分析-简单进程注入分析
简单进程注入分析样本来自《恶意样本分析》Lab12-1.exe Lab12-01.dll运行程序后,发生了什么?观察程序运行信息,会弹出一个对话框提示Press Ok to reboot,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对话快之后就等待,如果对话框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。哪个进程被注入了这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序。分析后可知,explore.exe被注入加载dll如何关闭弹窗需原创 2020-05-21 18:43:17 · 496 阅读 · 0 评论 -
Lab12-02-03-恶意样本分析-简单的键盘记录程序分析
简单的键盘记录程序分析**样本来自《恶意样本分析》Lab12-2.exe **Lab12-03.exe和dump出来得payload.exe是同一个程序不是很复杂很适合用来练手,对于新手很友好????程序的目的是什么这是一个键盘记录的恶意程序。程序是如何隐藏自身的程序创建了一个svchost的进程来运行恶意代码的payload放在那里加密保存在资源文件内程序是如何被保护的将实际的Payload保存在资源内,通过异或加密保存字符串是如何把被保护的字符串在资源文件的payload内,被原创 2020-05-21 18:37:08 · 361 阅读 · 0 评论 -
Lab12-04恶意样本分析--更新下载器分析
恶意样本分析–更新下载器分析这个样本是一个更新模块,运行程序后会自动下载相关的模块并且自动运行。现象程序运行后,启动了浏览器,同时看到创建了一个名为wupdmgr.exe的进程由于我的环境设置了过了,网络没有打开,之后进程wudpmgr.exe会自动退出分析分析母体使用ida打开样本后,首先获取EnumProcessModules,GetModuleBaseNameA,EnumProcess三个APIs的函数指针接着调用EnumProcess函数枚举进程并调用sub_401000查找目标原创 2020-05-21 18:26:13 · 359 阅读 · 0 评论 -
恶意样本脱壳-GandCrab2.0 脱壳笔记分析记录
GandCrab2.0 脱壳笔记分析记录有人在2018年的时候就分析过了恶意样本分析,相关资料可以查看参考部分。由于里边有很多可以学习和总结的脱壳技术,因此重新分析这个样本,这篇文章暂时不做加密和勒索实际功能分析,如果要看分析样本形成勒索的过程以及相关分析报告,可以直接跳到参考部分,这篇文章主要关注的是脱壳相关的一些技术细节的分析,由于文章是我个人的一些分析和总结,因此会有一些不足,比较趋向于像我这样刚接触恶意软件分析,由于很多样本在分析前需要脱壳之后才能看到核心功能,因此这里重点关注脱壳过程,主要内容如原创 2020-05-20 11:03:22 · 752 阅读 · 0 评论 -
一款简单的反向shell恶意样本分析
一款简单的反向shell恶意样本分析样本来自《恶意软件分析实战》第九章的的实验二。静态分析基本信息查看样本信息,发现程序没有加壳,使用VC++基编写编译时间2011/041/30接着查看字符串,没有发现有用的信息,如下静态分析使用ida分析来到入口函数,发现初始化了一堆参数接着调用GetModuleFileNameA函数获取样本执行的路径,并判断当前样本的名称是否为ocl.exe,如果不是则退出如果相同则创建socket链接,否则退出。这里进入创建socket链接在调用ge原创 2020-05-14 18:13:14 · 304 阅读 · 0 评论 -
恶意软件分析基础-PE文件简单分析记录
PE文件简单分析记录通常在分析一些样本时会遇到如下程序Handle hImageBase=LoadLibraryA("Kernel32.dll");void* aAddr =hImageBase+0x3c;void* bAddr=aAddr++0x78;的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。DosHeader这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头以MZ标志开头,表示这个一个PE文件。如果要读取Ri原创 2020-05-11 17:38:36 · 1027 阅读 · 0 评论 -
简单COM恶意组件分析
简单COM恶意组件分析什么是COM组件COM组件是微软的一个接口标注,全称是组件对象模型(Component Obejct Model),它可以使不同的软件组件在不知道其他组件代码的接口规范时,进行相互间的调用。COM可以支持任何编程语言,因此被设计成了一个可复用的软件组件。COM组件的基本分析每个程序在调用COM组件之前,都需要进行一系列的初始化工作,常用的函数包括了OleInitialize或者CoInitializeEx函数进行一个组件的初始化,之后才能对响应的COM组件使用。在分析一个C原创 2020-05-11 14:52:38 · 565 阅读 · 0 评论 -
Windows恶意软件分析-基于感染主机的特征
基于感染主机的特征Windows 文件系统利用ProcMonitor检测 opertion->CreatFile \ReadFile常用的函数包括:CreateFile 打开或者创建一个文件,根据dwCreationDisposition标记来确定创建文件还是打开文件ReadFile 读取文件内容WriteFile 写内容到文件CreateFileMapping 将一个文件映射到内存中MapViewOfFile获通过CreateFileMapping函数映射的文件指针通常有这些函数调原创 2020-05-11 11:57:29 · 509 阅读 · 0 评论 -
简单的定时DDOS攻击样本分析
简单的定时DDOS攻击样本分析本次分析的样本来自《恶意软件分析》课后实验–Lab-7-01中的程序,将样本载入到DIE内查壳,如下程序无壳,使用的VC++6.0编写,看到编译时间为2010/09/30说明这个样本已经很老很老了。将样本载入到IDA内分析相关功能,来到入口函数Main出,程序首先调用了StartServiceCtrlDispatcherA启动了一个名为MalService的服务,接着服务会执行函数sub_401040,启动完成服务后,会再次调用函数sub_401040,如下下面开原创 2020-05-08 19:13:31 · 379 阅读 · 0 评论 -
Pe文件静态分析
Pe文件静态分析能够获取到哪些信息在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...原创 2020-05-02 16:04:28 · 1547 阅读 · 0 评论 -
使用VirualBox搭建ubuntu16.04+Windows流量分析系统
使用VirualBox搭建ubuntu16.01+Windows流量分析系统在分析恶意软件时,通常要捕获一些流量信息,但是如果样本运行后可能会导致虚拟机系统奔溃,因此在victim中捕获流量不是一个很好的选择,因此这里搭建一个网络流量捕获系统,在运行时捕获恶意样本的网络请求流量包。具体步骤如下安装VirtualBox安装ubuntu16.04安装Windows xp sp1 32网络设...原创 2020-04-28 19:06:20 · 252 阅读 · 0 评论