恶意代码分析实战实验Lab 6-1

最新推荐文章于 2023-01-24 20:56:08 发布
最新推荐文章于 2023-01-24 20:56:08 发布
阅读量388 收藏
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116443782
版权

Lab 6-1

1.由main函数调用的唯一子过程中发现的主要代码结构是什么?

先进行基础的静态分析
在这里插入图片描述
InternetGetConnectState函数用于检查本地系统的网络连接状态。
在这里插入图片描述
GetACP获取当前系统的代码页编码,如简体中文是 936。
GetCPinfo取得与指定代码页有关的信息。
使用strings
在这里插入图片描述
GetCommandLineA获取命令行输入参数
在这里插入图片描述
Error 1.1: No Internet
Success: Internet Connection
该程序可能检查系统中是否存在可用的网络连接。

动态运行——只打印了Success: Internet Connection即退出了。

使用ida pro加载,从main函数(.text:00401040)开始。
在这里插入图片描述
sub_401000比较关键,进入查看
在这里插入图片描述
使用cmp对保存结果的eax寄存器与0比较,使用jz指令控制执行流。存在可用连接时,InternetGetConnectedState返回1,否则返回0。返回1时,零标志位(ZF)会被清除,jz指令进入false分支。两个分支mov eax, 1即为1,连接成功;xor eax, eax即为0,失败。

代码结构为if语句。

2.位于0x40105F的子过程是什么?

printf函数
本身的实现

int __cdecl printf (
        const char *format,
        ...
        )
/*
 * stdout 'PRINT', 'F'ormatted
 */
{
        va_list arglist;
        int buffing;
        int retval;

        va_start(arglist, format);

        _ASSERTE(format != NULL);

        _lock_str2(1, stdout);

        buffing = _stbuf(stdout); // 记住这个函数_stbuf

        retval = _output(stdout,format,arglist); // 还有记住这里调用了一次外部函数

        _ftbuf(buffing, stdout); // 记住这个函数_ftbuf

        _unlock_str2(1, stdout);

        return(retval);
}

题目中:
在这里插入图片描述

FILE <0, 0, 0, 2, 1, 0, 0, 0>

windows的文件描述符(file descriptor)

struct _iobuf {
    char *_ptr;      // -> 0
    int _cnt;        // -> 0
    char *_base;     // -> 0
    int _flag;       // -> 2
    int _file;       // -> 1
    int _charbuf;    // -> 0
    int _bufsiz;     // -> 0
    char *_tmpfname; // -> 0
};
typedef struct _iobuf FILE;

_file代表打开的文件在系统中的编号,一般我们编程的时候打开的句柄(也就是文件描述符)编号都比较大【本身系统就已经打开了比较多的文件】,但是一般有三个文件的文件描述符是固定写死的,还比较小,那就是stdin、stdout、stderr,在系统中对应的值就是

stdin -> 0
stdout -> 1
stderr -> 2

3.这个程序的目的是什么?

检查是否存在可用的Internet连接,如果存在,打印结果并返回1,不存在则返回0。

参考

1.斯科尔斯基, 哈尼克. 恶意代码分析实战[M]. 电子工业出版社, 2014.
2.恶意代码分析实战 Lab 6-1 习题笔记

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码分析与防治技术》课程学期的所有实验报告、实验样本及部分必要的工具,实验报告内容仅供参考。 实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
恶意代码分析实战 4 识别汇编中的C代码结构
农夫果园好好喝的博客
01-24 696
使用Strings进行查看,需要注意最后的这两个字符串,一个是“没有网”,另一个是“联网成功”。IDA 中查看图结构。明显是if-else结构。明显sub_401000函数决定了分界点,点进去看一看:这个函数最后返回的值就是该函数的值,似乎这个if-else 中的内容并没有影响他的返回值,在这这两个流程中都有字符串,可以大致猜测出应该是打印字符串的功能,而sub_40105F函数恰好有两个参数,而字符串恰好是第一个参数,该函数应该就是printf。该程序检查是否有一个可用的Internet连接。
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
m0_46687377的博客
12-09 1354
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1587
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战》第6章 识别汇编中的C代码结构(课后实验Lab 6)
qq_43443410的博客
08-03 387
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第6章 识别汇编中的C代码结构(实验Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个程序的目的是什么?Lab 6-2:分析在文件Lab06-02.exe中发现的恶意代码。2.1 main函数调用的第一个子过程执行了什么操作?2.2 位于0x40.
恶意代码分析实战6-1
Yale的博客
05-30 260
本次实验我们将会分析lab06-01.exe,lab06-04.exe两个文件。先来看看lab06-01.exe要求解答的问题 Q1由main函数调用的唯一子过程中发现的主要代码结构是什么 Q2位于0x40105f的子过程是什么 Q3这个程度的目的是什么 尝试运行会发现程序一闪而过 载入peview分析,查看其导入表 ​ 可以看到WININET.dll,其中其中的InternetGetConnectState函数。利用Windows Internet(WinINet)API,应用程序可以使用http协议访问
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3300
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1675
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战 第六章课后实验
Stronger_99的博客
04-11 513
静态分析: 首先使用peid进行静态分析: 看到了一个重要的API函数InternetGetConnectedState,意思为返回本地系统网络连接状态。 然后查看字符串发现: 问题1: 用ida打开文件Lab06-01.exe,发现了有main唯一调用的子程序call sub_401000 双击点进去发现了一个很明显的分支结构,这就是if语句 问题2: ...
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 243
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析-lab6
qq_41810304的博客
08-01 574
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
恶意代码分析实战 Lab 6-1 习题笔记
isinstance的博客
09-12 2259
Lab 6-1问题1.在main函数调用的唯一子过程中发现的主要代码结构是什么?解答: 我们照着书中的步骤走一遍先静态分析一下然后我们会发现这个WININET.DLL的导入有个函数InternetGetConnectedState,然后我们查询一下MSDN的说明这是用于检测本地系统的连接状态的这个函数会主要有这么几个值选项有LAN方式,也有MODEM拨号方式,还有OFFLINE不在线状态,到此我们大
Lab 6-1
bangren3304的博客
01-13 208
LABS The goal of the labs for this chapter is to help you to understand the overall functionality of a program by analyzing code constructs. Each lab will guide you through discovering and analyz...
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8478
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战06-01
Yale的博客
09-20 195
本次实验我们将会分析lab19-2文件。先来看看要求解答的问题 Q1.这段shellcode被注入到什么进程中? Q2.这段shellcode位于哪里? Q3.这段shellcode是如何被编码的? Q4.这段shellcode手动导入了哪个函数? Q5.这段shellcode和什么网络主机进行通信? Q6.这段shellcode做了什么? 首先载入IDA 第一处call是调用sub_4010b0,跟入该函数 从其关键函数调用可知,这个函数为当前进程提供合适的权限,使其允许调试 返回main 接着是调
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2832
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
《恶意分析》中的lab07-02实验
最新发布
06-19
而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值