恶意代码分析实战实验Lab 7-1

最新推荐文章于 2023-04-05 18:45:06 发布
最新推荐文章于 2023-04-05 18:45:06 发布
阅读量562 收藏 5
点赞数 2
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116453999
版权

Lab 7-1

静态分析IDA Pro

字符串:
在这里插入图片描述
可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Internet Explorer 8.0
查看导入函数
比较重要的导入函数

Address  Ordinal Name                        Library 
-------  ------- ----                        ------- 
00404000         CreateServiceA              ADVAPI32
00404004         StartServiceCtrlDispatcherA ADVAPI32
00404008         OpenSCManagerA              ADVAPI32
00404010         CreateWaitableTimerA        KERNEL32
00404014         SystemTimeToFileTime        KERNEL32
00404018         GetModuleFileNameA          KERNEL32
0040401C         SetWaitableTimer            KERNEL32
00404020         CreateMutexA                KERNEL32
00404028         OpenMutexA                  KERNEL32
0040402C         WaitForSingleObject         KERNEL32
00404030         CreateThread                KERNEL32
004040C0         InternetOpenUrlA            WININET 
004040C4         InternetOpenA               WININET

CreateServiceAOpenSCManagerA函数表明创建服务,以确保该程序可以随系统运行。
StartServiceCtrlDispatcherA函数被系统用于实现服务,且一般立即被调用。该函数制定了服务控制管理器会调用的函数。
它所制定的的是sub_401040
在这里插入图片描述
检查sub_401040函数
在这里插入图片描述
第一个函数是OpenMutexA,它尝试获取一个名为"HGL345“的互斥量句柄。如果调用成功,程序就会退出。
下一个调用
在这里插入图片描述
创建名为”HGL345"的互斥量,两处组合调用,用于保证同一时间这个程序只有一份实例在运行。因为如果有一个实例在运行了,则OpenMutexA第一次调用成功,程序就会退出。
OpenSCManagerA打开服务控制管理器句柄,以便该程序可以添加或修改服务。
GetModuleFileNameA返回当前可执行程序或一个被加载DLL的全路径名。
返回的全路径名被CreateServiceA用于创建一个新的服务。
在这里插入图片描述
MSDN

SC_HANDLE CreateServiceA(
  SC_HANDLE hSCManager,
  LPCSTR    lpServiceName,
  LPCSTR    lpDisplayName,
  DWORD     dwDesiredAccess,
  DWORD     dwServiceType,#3
  DWORD     dwStartType,#2
  DWORD     dwErrorControl,
  LPCSTR    lpBinaryPathName,#1
  LPCSTR    lpLoadOrderGroup,
  LPDWORD   lpdwTagId,
  LPCSTR    lpDependencies,
  LPCSTR    lpServiceStartName,
  LPCSTR    lpPassword
);

这里的1 2 3分别对应BinaryPathName、StartType和ServiceType。
MSDN中还列举了StartType和ServiceType的有效值(此处未列全)。
在这里插入图片描述
在这里插入图片描述
和时间相关
在这里插入图片描述
结构体
834h 表示10进制2100,表示2100年1月1日午夜。
SystemTimeToFileTime用于不同时间格式的转换

再接着SetWaitableTimer函数的lpDueTime参数,它来自于刚才时间转换函数返回的FileTime。
在这里插入图片描述
随后进入WaitForSingleObject等待,直到2100年1月1日午夜执行。
在这里插入图片描述
在1处ESI设置为计数器0x14(十进制20),循环的末位,ESI在2处递减,在3处到达0时,循环退出。4处的CreateThread函数的参数中lpStartAddress可以告知当前线程的起始地址。
查看该参数StartAddress
在这里插入图片描述
循环末尾的jmp指令是一个无条件跳转,意味着代码将永远不会停止;调用InternetOpenUrlA,并且一直下载该网址的主页。由于前面ESI被设置为20,因此会有20个线程一直调用InternetOpenUrlA函数。
该恶意代码目的是将自己在多台机器上安装成一个服务,进而启动DDOS攻击。如果所有的被感染机器在同一时间访问该服务器,会导致该服务器过载并无法访问该站点,导致拒绝服务攻击。

1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?

创建服务 MalService,在后台随系统启动运行。

2.为什么这个程序会使用一个互斥量?

保证同一时间这个程序只有一份实例在运行。

3.可以用来检测这个程序的基于主机特征是什么?

搜索一个名为HGL345的互斥量,以及服务 MalService

4.检测这个恶意代码的基于网络特征是什么?

网址信息http://www.malwareanalysisbook.com用户代理信息Internet Explorer 8.0

5.这个程序的目的是什么?

定时任务:时间为2100年1月1日半夜,发送大量请求到http://www.malwareanalysisbook.com引发ddos攻击。

6.这个程序什么时候完成执行?

不会完成,等到2100年1月1日半夜,到那时创建20个线程,每个均是无限循环。

参考

1.斯科尔斯基, 哈尼克. 恶意代码分析实战[M]. 电子工业出版社, 2014.

进一寸有一寸的欢喜077
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1282
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1571
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5172
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3300
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
exp4恶意代码分析实验报告-20202127
qq_57435798的博客
04-05 1559
本次实验的重点是借用软件工具,通过工具来具体分析恶意代码,通过对后门文件的多方面分析检测,查看是否主机中有可疑对象和可疑行为,这对平时主机的使用和保护都有着重大的实际作用。这个程序对系统的正常运行是非常重要,而且是不能被结束的。这次试验任务量比之前的三次实验大了很多,而且比较侧重于自己分析,通过利用一些专业的分析工具,可以对恶意代码进行静态和动态的分析,这些工具除了wireshark在之前学习使用过,其他工具都是从没有听说过,通过这些工具的使用也让我对恶意代码有了更深的认识。以后还要加强这方面的学习。
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1036
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战Lab0701
ACdream
02-25 447
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战 Lab 7-1 习题笔记
isinstance的博客
09-20 1639
Lab 7-1问题1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)解答: 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数,会操作一个互斥量和一个线程还有这些好玩的函数,比如SetWaitableTimer,这是由于设置一个定时的函数,可以在时间到来的时候发出一个信号来激活一个线程然后就是Sleep,这个说明这个
Lab 7-1
bangren3304的博客
01-16 254
Analyze the malware found in the file Lab07-01.exe. Questions and Short Answers How does this program ensure that it continues running (achieves persistence) when the computer is restarted? A: T...
恶意代码分析实战07-01
Yale的博客
09-19 505
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题 Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留) Q2.为什么这个程序会使用一个互斥量? Q3.可以用来检测这个程序的基于主机特征是什么? Q4检测这个恶意代码的基于网络的特征是什么 Q5这个程序的目的是什么 Q6这个程序什么时候完成执行 先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数 ​ 比如上图的openscmanager和createService,starts
恶意代码分析实战第15章实验
weixin_41487541的博客
03-14 452
首先IDA中定位到所有对抗反汇编技术并修正。 第一处: 0040115E处发现对抗反汇编技术,栈顶指针一定非0,所以test esp,esp一定非0;jnz则会执行到loc_40115E+1。 在0040115E处按D查看数据: 在0040115F处按C转换为代码: 可以看出db 0E9h即为干扰。 第二处: 在004011D0处将eax清0又使用jz命令,能够看出这是一个固定条件的跳转方式。在004011D4处按D查看数据: 在004011D5处按C转换为代码: 这.
恶意代码分析实战实验Lab 6-4
m0_37442062的博客
05-06 567
Lab 6-4静态分析1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?2.什么新的代码结构已经被添加到main中?3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?4.这个程序会运行多久?(假设它已经连接到互联网。)5.在这个恶意代码中有什么新的基于网络的迹象吗?6.这个恶意代码的目的是什么?参考 静态分析 会动态生成Internet Explorer 7.50/pma%d。 导入表 和Lab 06-03.exe中相同 1.在实验6-3和6-4的main函数中的调用之间的
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 2980
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码分析实战 Lab 7-3 习题笔记
isinstance的博客
09-30 2664
Lab 7-3问题1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?解答: 我们还是先开始按静态分析来开始我们的分析(这里同时要分析.dll和.exe)我们会发现这里有一个CreateFileA和CopyFileA这两个函数,说明会创建一个文件和复制一个文件,这个创建文件可能会是什么日志之类的,复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF
恶意代码分析实战 --- 第七章分析恶意windows程序
abelxu
05-21 670
Lab7-1 程序分析 查看导入表,存在服务相关API,静态分析需要关注服务相关代码。通过存在互斥体的创建。最后两个WININET的api会打开URL。 主函数执行 StartServiceCtrlDispatcher设置"Malservice"对应的回调函数 相关API BOOL WINAPI StartServiceCtrlDispatcher( _In_ const SERVICE_TABLE_ENTRY * lpServiceTable ); 结构体:服务名|回调函数 typedef st
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值