恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4

最新推荐文章于 2024-04-09 09:59:25 发布
最新推荐文章于 2024-04-09 09:59:25 发布
阅读量1.2k 收藏 12
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116405166
版权

由于这三个题目很相似,放在一起了。

Lab 1-2

问题

1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

在这里插入图片描述

2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。

PEID
在这里插入图片描述
通过EP段为UPX1什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。
在这里插入图片描述
对于脱壳后的exe文件再次使用PEID,发现
在这里插入图片描述

3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?

对于我们已经脱壳成功的exe文件,我们使用PEID查看输入表函数(导入函数)
在这里插入图片描述
WININET.dll下有两个函数,分别是
在这里插入图片描述
ADVAPI32.dll下函数如图:
在这里插入图片描述
这个样本有联网和开启或创建服务的可能。

4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?

使用strings工具查看字符串:
在这里插入图片描述
我们可以注意到一些可疑字符串,如MalService 还有网址。

Lab 1-3

问题

1.将Lab01-03.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

上传即可

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。

同理使用PEIDlinxerUnpacker工具
在这里插入图片描述
发现EP段未显示,且下方是FSG……,这说明该文件有明显的壳特征。
输入表只能看见
在这里插入图片描述

脱壳:由于有明显的壳特征,因此直接使用壳特征脱壳即可。
在这里插入图片描述
脱壳后的程序查看
在这里插入图片描述

3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?

见上图,感觉就这个ole32.dll可以分析一下

4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?

使用strings工具
在这里插入图片描述
同样也是出现了一个网址。

Lab 1-4

问题

1.将Lab01-04.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

上传即可

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。

同理使用PEIDlinxerUnpacker工具
在这里插入图片描述
未加壳

3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?

PEID查看导入函数
在这里插入图片描述
从kernel32.dll的api函数可以看出这个样本可能涉及到文件的读写、资源的查找等
从advapi32.dll函数,如下图,可能和系统的权限有关。
在这里插入图片描述

4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?

使用strings工具
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
出现了很多dll,在系统目录下出现了一些exe文件。

6.这个文件在资源段中包含一个资源,使用Resource Hacker工具来检测资源,然后抽取资源。从资源中你能发现什么?

由于对于资源段每一包含资源的文件,使用该工具后是空白的,对于lab 04.exe查看
在这里插入图片描述

保存资源到ida分析,我的ida看不了string,额,用strings看了下,和第四题里面一样,exe和网址。

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1466
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
lab1-3 使用通用脱壳工具
qq_55202378的博客
11-02 715
恶意代码分析
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1127
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4750
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
实战恶意软件分析:PracticalMalwareAnalysis-Labs 深度解析
最新发布
gitblog_00078的博客
04-09 527
实战恶意软件分析:PracticalMalwareAnalysis-Labs 深度解析 项目地址:https://gitcode.com/mikesiko/PracticalMalwareAnalysis-Labs 项目简介 PracticalMalwareAnalysis-Labs 是一个开源的项目,旨在为安全研究人员和爱好者提供一套全面的恶意软件分析实践课程。该项目基于 Michael Sik...
脱壳程序linxerUnpacker
06-15
脱壳程序linxerUnpacker,比较不错的智能脱壳程序,自动查壳解壳!
通用基于虚拟机的脱壳机—linxerUnpacker
08-14
通用基于虚拟机的脱壳机—linxerUnpacker
恶意样本分析实战——SmokeLoader
weixin_51409218的博客
08-29 272
恶意样本分析实战——SmokeLoader
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1719
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1836
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战 18 64位
农夫果园好好喝的博客
01-25 800
当你运行这个程序却没带任何参数,它会立即退出。main函数有三个参数入栈,分别是一个整数和两个指针。main函数位于0x00000001400010C0处。你可以通过寻找接受一个整数与两个指针作为输入参数的函数调用定位main函数。字符串oc1.exe存储在栈中。这里对字符串进行了检查,如果在不改变二进制程序文件名的前提下,让这个程序运行。为了不修改可执行程序的文件名就能让这个程序运行有效载荷,你需要修补在0x0000000140001213处的jump指令,将其替换为NOP指令。
恶意代码分析实战第一章习题实验
Amire0x的小乐园
11-03 1108
Lab 01-01 对Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是什么时候编译的? 使用PEtools打开文件,点击文件头可看到,其他同理。 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 使用PEID打开文件,注意红框内的东西,这里表示该程序是
恶意软件分析实战04-逆向分析Lab09-02.exe
輚至消亡
09-13 388
首先还是查一下壳, 发现没有加壳, 使用VC++6.0编写 68个杀毒软件, 55个报毒。感觉是有问题的 在一个dll中, 数据节内存大小非常大实际数据没那么大,可能是藏着一个文件在里面 查看下它的导出函数, 很明显该DLL是以服务形式存在的 其中导入了WS2_32.dll,也就是说有网络行为 ...
恶意软件样本行为分析——灰鸽子和大白鲨
weixin_49816179的博客
12-21 1474
进行了灰鸽子木马制作和行为分析,并用相似方法对大白鲨木马也进行了探究。
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值