恶意代码分析实战实验Lab 6-4

最新推荐文章于 2022-03-14 10:51:45 发布
最新推荐文章于 2022-03-14 10:51:45 发布
阅读量606 收藏 5
点赞数 1
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116449530
版权

Lab 6-4

静态分析

在这里插入图片描述
会动态生成Internet Explorer 7.50/pma%d
导入表
和Lab 06-03.exe中相同

1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?

sub_401000:检查网络连接
sub_401040:解析HTML
sub_401150:switch语句
sub_4012B5:printf函数
在这里插入图片描述

2.什么新的代码结构已经被添加到main中?

for循环
在这里插入图片描述
在这里插入图片描述
局部变量var_C用于循环计数。在1处赋值为0,在2处递增1,每次到了5就返回递增,因此这是一个循环结构。当var_C大于或者等于3处的5A0h时,循环停止。
在调用函数sub_401040之前,var_C将被压入栈,循环到5之前会休眠一分钟,最后将计数器加1,因此持续1440分钟,24小时。

3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?

sub_401000使用一个参数,使用格式化字符串来调用sprintf函数,使得传入的参数创建用于HTTP通信的User-Agent字段。

4.这个程序会运行多久?(假设它已经连接到互联网。)

1440分钟(24小时)

5.在这个恶意代码中有什么新的基于网络的迹象吗?

新的User-Agent。

Internet Explorer 7.50/pma%d

在这里插入图片描述
分析sub_401040arg_0是唯一的参数,由于只有main函数调用了sub_401040函数,因此arg_0始终是从main函数传入的计数器var_C
在1处,arg_0与一个格式化字符串以及一个目标地址一起被压入栈。
调用了sprintf函数,后者创建一个字符串,并将其存储在目的缓冲区,即szAgent
2处,szAgent被传给InternetOpenA函数,每次计数器递增生成的User-Agent会随之改变。这个机制可以被管理和监控web服务器的攻击者用于跟踪恶意代码运行时间。

6.这个恶意代码的目的是什么?

在6-3的基础上,运行24小时后会停止。

参考

1.斯科尔斯基, 哈尼克. 恶意代码分析实战[M]. 电子工业出版社, 2014.

进一寸有一寸的欢喜077
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 783
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1088
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
Lab 6-4
bangren3304的博客
01-14 237
In this lab, we’ll analyze the malware found in the file Lab06-04.exe. Questions and Short Answers What is the difference between the calls made from the main method in Labs 6-3 and 6-4? A: The ...
恶意代码分析实战 Lab 6-4 习题笔记
isinstance的博客
09-20 1300
Lab 6-4问题1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?解答: 和以前一样,先按照书中的步骤走一遍先是静态分析导入的函数都和Lab 6-3一样字符串的话也基本差不多,都和上一个程序一样,除了这点之外然后这里会出现一个格式输出符%d这是上一个程序里没有的然后会发现这个代码的结构和上三个都不一样我们从开始,这里和原来一样,调用sub_401000,sub_401000返回
恶意代码分析实战实验6-4
qq_43481350的博客
09-01 189
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings 实验过程 首先进行基础的静态分析如下: 我们会发现同之前分析的一样会包含未知网址,网络连接提示字符串以及注册表信息: 现在我们开启IDA分析: 1、对比之前的main函数,此程序的main函数中调用之间的区别是什么?什么新的代码结构被添加至了main函数中 循环结构 ...
恶意代码分析实战实验6-3
qq_43481350的博客
09-01 189
实验环境 实验设备环境:windows xp 实验工具:PEID,strings,IDApro 实验过程 首先使用strings进行静态分析如下: 我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。 下面可以使用PEID查看一下导入表: 我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。 我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。 下面使用IDA进行分析: 1、比较在main函数中与
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1274
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 969
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1618
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战 Lab 6-1 习题笔记
isinstance的博客
09-12 2304
Lab 6-1问题1.在main函数调用的唯一子过程中发现的主要代码结构是什么?解答: 我们照着书中的步骤走一遍先静态分析一下然后我们会发现这个WININET.DLL的导入有个函数InternetGetConnectedState,然后我们查询一下MSDN的说明这是用于检测本地系统的连接状态的这个函数会主要有这么几个值选项有LAN方式,也有MODEM拨号方式,还有OFFLINE不在线状态,到此我们大
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1741
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战Lab06补充
ACdream
02-19 365
Lab0601补充https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-6-1/Lab0602补充Buffer是读取文件的缓冲区,根据 if 语句,当前四个字符是“<!--”。return的返回值是Buffer的第五个字符https://debug....
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2877
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
恶意代码分析实战实验——Labs-06
草草君
09-28 648
恶意代码分析实战实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3553
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战第15章实验
weixin_41487541的博客
03-14 495
首先IDA中定位到所有对抗反汇编技术并修正。 第一处: 0040115E处发现对抗反汇编技术,栈顶指针一定非0,所以test esp,esp一定非0;jnz则会执行到loc_40115E+1。 在0040115E处按D查看数据: 在0040115F处按C转换为代码: 可以看出db 0E9h即为干扰。 第二处: 在004011D0处将eax清0又使用jz命令,能够看出这是一个固定条件的跳转方式。在004011D4处按D查看数据: 在004011D5处按C转换为代码: 这.
恶意代码分析-lab6
qq_41810304的博客
08-01 657
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
《恶意分析》中的lab07-02实验
最新发布
06-19
而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值