恶意代码分析实战实验Lab 6-2

最新推荐文章于 2021-08-01 17:48:27 发布
最新推荐文章于 2021-08-01 17:48:27 发布
阅读量300 收藏
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116445085
版权

Lab 6-2

静态分析

使用IDA pro查看字符串
在这里插入图片描述
有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于网络特征。

导入函数
在这里插入图片描述
和网络有关的API函数

动态分析

监听80端口时Netcat输出

C:\>nc -l -p 80
Get /cc.htm/1.1
User-Agent: Internet Explorer 7.5/pma
http://www.practicalmalwareanalysis.com

1.由main函数调用的第一个子过程执行了什么操作?

同Lab 6-1,是一个if语句,用于检查是否存在可用的网络连接。

2.位于0x40117F的子过程是什么?

同Lab 6-1,是printf函数。
在这里插入图片描述

3.被mian函数调用的第二个子过程做了什么?

在这里插入图片描述

位于0x401040,下载网页,从页面开始处解析HTML注释。
进入sub_401040,和动态分析一致。
在这里插入图片描述
首先调用InternetOpenA初始化;InternetOpenUrlA用于打开亚茹栈参数的静态网页,引发在动态分析中看到的DNS请求。
在这里插入图片描述
InternetOpenUrlA结果赋给了hFile,并在1处与0进行比较。相等返回,否则传给下一个函数InternetReadFilehFile实际上是一个句柄——一种访问已经打开的URL的途径。
在这里插入图片描述
InternetReadFileInternetOpenUrlA打开的网页中读取内容。

//MSDN
BOOLAPI InternetReadFile(
  HINTERNET hFile,
  LPVOID    lpBuffer,
  DWORD     dwNumberOfBytesToRead,
  LPDWORD   lpdwNumberOfBytesRead
);

第二个参数也即是第2处,Buffer是保存数据的数组,最多保存0x200字节的数据,即3处的NumberOfBytesToRead参数的值。在已经知道该函数用于读取网页的基础上,我们可以认为Buffer是一个字符数组。
Buffer处理
在这里插入图片描述
cmp ecx, 3Ch用于检查第一个字符是否等于0x3C,对应的字符为<,依次右击更改显示后发现<!–,是HTML注释的开始部分。
movsx edx, [ebp+var_20F]这个位置的var_20F,是由于IDA pro没有识别出BUffer这个局部变量的大小是512字节,因此显示为一个局部变量。
实质上相等于一个Buffer+1。
填充函数栈后
在这里插入图片描述

4.在这个子过程中使用了什么类型的代码结构?

调用Inte,将返回数据填充到字符数组中,然后每次一个字节地对这个数组进行比较,以解析一个HTML注释。

main函数
在这里插入图片描述
sub_401040函数返回一个非0值,打印"Success: Parsed command is %c\n",其中%c是格式字符串,是从HTML中解析出来的字符。
紧接着调用了sub_40117F函数,也就是printf函数(第2题)
再调用sleep函数,0EA60h表示一分钟 60000毫秒

5.在这个程序中有任何基于网络的特征的指示吗?

两条网络特征。使用Internet Explorer 7.5/pma作为User-Agent字段,并从http://www.practicalmalwareanalysis.com/cc.htm下载了网页。

6.这个恶意代码的目的是什么?

首先判断是否在可用的网络连接,不存在就终止运行。存在即使用独特的用户代理下载一个网页,该网页包含一段由<!--开始的HTML注释,程序解析其后的那个字符并输出到屏幕,输出格式是Success: Parsed command is X,其中X就是从该HTML注释解析出来的字符,解析成功,程序会休眠一分钟,然后终止运行。

参考

1.斯科尔斯基, 哈尼克. 恶意代码分析实战[M]. 电子工业出版社, 2014.

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PracticalMalwareAnalysis.pdf 英文原版
08-20
Practical Malware Analysis
恶意代码分析实战6-2
Yale的博客
05-30 226
本次实验分析lab06-02.exe.需要回答以下问题 Q1main函数调用的第一个子过程执行了什么操作 Q2位于0x40117f的子过程是什么 Q3被main函数调用的第二个子过程做了什么 Q4在这个子过程中使用了什么类型的代码结构 Q5在这个程序中有任何基于网络的暗示吗 Q6这个恶意代码的目的是什么 先静态分析。将实验文件载入peview,查看其导入函数 ​ 最下面这些internet开头的函数都是WinINet的一部分,这个库提供了通过网络使用http的一组简单的api InternetOpenA:用
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2832
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
Lab 6-2
bangren3304的博客
01-13 245
Analyze the malware found in the file Lab06-02.exe. Questions and Short Answers What operation does the first subroutine called by main perform? A: The first subroutine at 0x401000 is the same a...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1587
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战实验6-2
qq_43481350的博客
09-01 149
实验环境 实验设备环境:windows xp 实验工具:IDAPro,PEID,strings,wireshark 实验过程 使用strings程序进行基础的静态分析: 出现了一个恶意程序可能访问的网址,以及一些反应网络连接状态的字符串。 现在我们可以使用PEID进行分析,查看其导入表: 我们主要关注WINNET.dll程序引用的API。(如果兴趣可以通过MSDN查找相关API作用) 下面我们通过wireshark进行动态分析: 开启wireshark以后,运行程序: 其中存在DNS数据包,解析圈出的
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
恶意代码分析-lab6
qq_41810304的博客
08-01 574
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
C#串口的BytesToRead属性
weixin_33895604的博客
07-19 872
今天调试串口,发现BytesToRead可以比ReadBufferSize属性值大,而且这个大不是表面数值上的大,实际数据也没有丢失。 查了MSDN SerialPort. BytesToRead 属性 发现如下说明: 由于 ReadBufferSize 属性只表示 Windows 创建的缓冲区,而 BytesToRead 属性除了表示 Windows 创建的缓冲区外还表示 S...
恶意代码分析实战实验——Labs-06
草草君
09-28 615
恶意代码分析实战实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
VS 2005 中SerialPort控件的使用
严以律己、宽以待人
10-24 5533
这些天在做一些PDA和计算机进行通讯的程序,用的串行口。VS2005中自带了串行口控件System.IO.Ports.SerialPort,用起来比较方便,可以较为方便的接收和发送数据。在实际的使用过程中,发现了一些问题,主要是串行口数据的接收出现了一些问题,比如,SerialPort的Encoding方式、收到的字符不完整 等。SerialPort默认的Encoding是ASCII方式,
恶意代码分析实战 Lab 6-3 习题笔记
isinstance的博客
09-19 1168
Lab 6-3问题1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?解答: 我们也是先跟着书走一遍先静态分析(基本都是静态分析)可以清楚的看到,这个函数有创建文件夹(目录)的能力,还有删除一个文件,复制一个文件的能力和Lab 6-2一样,也有打开一个URL的并从里面读取文件的能力然后我还会发先,这个函数有打开一个注册表和设置值的能力然后我们查看一下字符串有那些
《恶意分析》中的lab07-02实验
最新发布
06-19
而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值