恶意代码分析实战实验Lab 3-3+Lab 3-4

最新推荐文章于 2022-04-13 16:33:31 发布
最新推荐文章于 2022-04-13 16:33:31 发布
阅读量358 收藏
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116422943
版权

Lab 3-3

1.当你使用Process explorer工具进行监视时,你注意到了什么?

在这里插入图片描述
每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe

2.你可以找出任何的内存修改行为吗?

工具:process monitor

单击
然后选择image和memory
在这里插入图片描述

在这里插入图片描述

practicalmalwareanalysis.log
[SHIFT]
[ENTER]
[BACKSPACE]
BACKSPACE
[TAB]
[CTRL]
[DEL]
[CAPS LOCK]
[CAPS LOCK]
C:\WINDOWS\system32\svchost.exe
……
正常的svchost.exe里的Image和Mermory是相同的。

[ENTER]、[BACKSPACE]、[CAPS LOCK]表明可能是击键记录器。

打开log文件
在这里插入图片描述

XP系统无法用Procmon 是这样的吗?有替代品吗?

3.这个恶意代码在主机上的感染迹象特征是什么?

practicalmalwareanalysis.log

4.这个恶意代码的目的是什么?

击键记录器

Lab 3-4

1.当你运行这个文件时,会发生什么呢?

双击删除自身。

2.是什么原因造成动态分析无法有效实施?

自删除。

3.是否有其它方式来运行这个程序?

暂无

进一寸有一寸的欢喜077
关注
专栏目录
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战Lab1303
ACdream
06-10 183
这个题的加密算法第一眼看上去很复杂,试试从字符串找特征猜测:更换后的BASE64加密,与URL进行交互main -> 401AC2 -> WSASocket(TCP连接) -> 连接成功调用4015B7,否则return 1(报错)  BOOL CreatePipe(PHANDLE hReadPipe, // 指向读句柄的指针   PHANDLE hWritePipe, // 指...
恶意代码分析实战实验3-4
qq_43481350的博客
09-01 335
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码分析实战 Lab 3-4 习题笔记
isinstance的博客
09-05 921
问题1.当你运行这个文件时,会发生什么呢?解答: 一开始我们使用静态分析技术来看看这个文件有文件的操作,也有进程的操作PEiD显示没有加壳资源节也没有藏东西然后看看字符串用ida有一个command.com的网址还有一些应该错误处理函数的输出字符串 最上面的有个注册表的位置是SOFTWARE\\Microsoft\\XPS有一个HTTP的字符串,还有那个恶意网址说明这个程序会联网然后运行看看然后跟
恶意代码分析实战13-03
Yale的博客
06-15 496
本次实验我们将会分析lab13-03.exe文件。先来看看要求解答的问题 Q1.比较恶意代码的输出字符串和动态分析提供的信息,通过这些比较,你发现哪些元素可能被加密? Q2.使用静态分析搜索字符串xor来查找潜在的加密。通过这种方法,你发现什么类型的加密? Q3.使用静态工具,如FindCrypt2、KANAL识别其他类型的加密机制。发现的结果与搜索字符XOR结果比较如何? Q4.恶意代码使用哪两种加密技术? Q5.对于每-种加密技术,它们的密钥是什么? Q6.对于加密算法,它的密钥足够可靠吗?另外你必须知
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4053
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1292
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
恶意代码分析实战Lab0303
ACdream
01-30 507
这个照例还是先查壳,VC++6.0的 然后使用IDA静态分析Imports和Exports,对几个关键函数进行简单静态分析 问题1:使用工具Process Explorer监视 根据问题的提示,打开Process Explorer,双击运行程序,发现了这个 在程序运行时,调用了svchost.exe。这个二进制程序是个系统文件,结合IDA静态分析,很有可能对这个程序做了恶意
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1731
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1146
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
Lab 3-4
bangren3304的博客
01-09 196
Analyze the malware found in the file Lab03-04.exe using basic dynamic analysis tools. (This program is analyzed further in the Chapter 9 labs.) Questions and Short Answers What happens when you...
恶意代码Lab03-3分析实验
雩停
03-10 1291
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实战Lab07——03.exe
sxr__nc的博客
01-08 492
第一步:查看程序的基本信息(无壳) 第二步:查看资源信息(没有资源信息) 第三步:查看导入表、字符串资源等信息 通过查看导入表可以大概猜测一下程序的部分功能:应该是和文件操作有关系,打开一个已经存在文件或者是创建一个新的文件,并对该文件进行操作 在查看字符串的时候,可以看到一些可疑的字符串,像图中出现的Kernel32.dll和Kerne132.dll(在这里一个是系统的动态链接库文件而另一...
从入门到入土:恶意代码Lab03-03.exe|分析实验|运行截图|问题回答|
Q_U_A_R_T_E_R的博客
11-02 894
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 恶意代码一、概述问题1:当你使用Process Explorer工具进行监视时,你注意到了什么?问题2:你可以找出任何的内存修改行为吗?问题3:这个恶意代码在主机上的感染迹象特征是什么?问题4:这个恶意代码的目的是什么?二、行为预览三、清理方式 一、概述 题目: 在一个安全的环境
恶意代码分析实战实验——Labs-03
草草君
09-08 505
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值