恶意代码分析实战实验Lab 1-1

最新推荐文章于 2023-01-24 20:39:49 发布
最新推荐文章于 2023-01-24 20:39:49 发布
阅读量1k 收藏 4
点赞数
分类专栏: 恶意代码分析实战 文章标签: 恶意代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116404462
版权

Lab 1-1

对Lab01-01.exe和Lab01-01.dll进行分析
问题

1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

Lab01-01.exe:
上传到virustotal
在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等)
在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。
Lab01-01.dll:同理上传即可

2.这些文件是什么时候编译的?

使用PEView,这里应该有一个Time Date Stamp,但是这里并没有,换一个工具试一试。
在这里插入图片描述
我们可以看到两个时间,好像和编译时间没什么关系
在这里插入图片描述
在这里插入图片描述
还是直接看virustotal报告吧,PE信息部分有直接给出。
Compilation Timestamp 2010-12-19 16:16:19
同理Lab01-01.dll文件的编译时间为
Compilation Timestamp 2010-12-19 16:16:38
可以看出两个文件的编译时间相差不大。

3.这两个文件中是否存在迹象说明它们是否被加壳或混淆?如果是,这些迹象在哪里?

使用PEID查看是否有壳
Lab01-01.exe
在这里插入图片描述
Lab01-01.dll
在这里插入图片描述
可见没有加壳和混淆

4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?

使用PEID查看输入表函数,可见导入了两个dll,每个dll下对应着多个API函数,
在这里插入图片描述
其中FindFirstFileAFindNextFileA说明该文件可能会对搜索文件等在这里插入图片描述
使用strings工具查看字符串:
在这里插入图片描述
我们可以注意到这里出现了kerne132.dll,这里是为了混淆视听。

kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。

msvcrt.dll是微软在windows操作系统中提供的C语言运行库执行文件,其中提供了printf、malloc、strcpy等C语言库函数的具体运行实现,并且为使用C/C++(Vc)编绎的程序提供了初始化(如获取命令行参数)以及退出等功能。

Lab01-01.dll文件:
使用PEID查看输入表函数
在这里插入图片描述
这里多了一个WS2_32.dll,主要用于联网。
kernel32.dll下面出现了创建进程、互斥量相关的API函数。
使用strings
在这里插入图片描述
在Lab01-01.dll文件中发现了一个ip地址。

5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?

我们可以猜测Lab01-01.exe在运行时会导入kerne132.dll和这里的Lab01-01.dll文件,如果说我们在一台主机上发现有kerne132.dll,可以判断该系统被感染。

6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?

Lab01-01.dll文件中发现了一个ip地址和WS2_32.dll

7.你猜这些文件的目的是什么?

后门程序,使用exe文件装载dll文件运行。

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识_实验
kitsch0x97的博客
04-30 571
在这个实验使用Lab01-01.exe和Lab01-01.dll,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8528
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战1-1
Yale的博客
05-28 787
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下: 1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.这些文件是什么时候编译的? 3.这两个文件是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数? 5.是否有任何其他文件
新手的恶意代码分析记录(一)_Lab01-01
qq_42689353的博客
08-18 1414
一、基本信息 样本基本信息: 样本名称:Lab01-01.dll 样本大小:163840 bytes MD5:290934C61DE9176AD682FFDD65F0A669 样本名称:Lab01-01.exe 样本大小:16384 bytes MD5:5A016FACBCB77E2009A01EA5C67B39AF209C3FCB 使用cff_Explorer 查看样本基本信息 使用查壳工具die查看,可以看出来,两个程序并没有加壳,并且是使用VC6.0编写的。 查看 Lab01-01.dll 程
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1549
Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战第一章习题实验
Amire0x的小乐园
11-03 1109
Lab 01-01Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是什么时候编译的? 使用PEtools打开文件,点击文件头可看到,其他同理。 这两个文件是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 使用PEID打开文件,注意红框内的东西,这里表示该程序
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4789
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析实战实验——Labs-15
草草君
04-21 234
恶意代码分析实战实验——Labs-15 记录《恶意代码分析实战实验,相关链接: 电子书的下载 标题《恶意代码分析实战实验——Labs-15Labs-15-01实验静态分析:IDA分析问题Labs-15-02实验静态分析:IDA分析问题Labs-15-03实验静态分析:IDA分析问题 Labs-15-01实验 Lab15-01.exe 静态分析: 查壳——无壳 查看输入表——MSVCRT.dll Strings分析——出现比较有意思的字符串 IDA分析 在main函数发现xor
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
lab01 lab01lab01
11-21
lab01shiaaschdkjashd 9sadkjhasdkjh akjsdhasd
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战对应章节的实验。 此外,实验报告也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1260
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1177
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意软件分析实战05-逆向分析Lab011-01.exe
輚至消亡
09-14 502
首先查壳, 发现没有加壳。这个程序是用VC++6.0编写。 把样本拖入VT内查看, 发现47个杀毒引擎认为其有问题。 仔细查看一下报告, 附带有资源节 看一下它内部有的函数, 资源节肯定有问题。 继续查看VT报告, 发现其是一个名为msgina32.dll。初步考虑是利用了Winlogon服务,对GINA进行劫持。 注册表设了GinaDLL键验证了我的猜想。至少非常大的可能。 不管如何先用Resource Hacker把这个DLL拿出来再说。 首先把恶意软...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3554
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
《恶意分析lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值