恶意代码分析实战实验Lab 7-2 +

最新推荐文章于 2021-09-19 22:07:19 发布
最新推荐文章于 2021-09-19 22:07:19 发布
阅读量483 收藏 1
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116455360
版权

Lab 7-2

静态分析 IDA PRO

字符串信息很少,但是没有加壳。

在这里插入图片描述
使用strings工具
在这里插入图片描述
书上说这个是Unicode字符。
导入函数
在这里插入图片描述
和COM对象有关。CoCreateInstanceOleInitialize函数使用COM功能。
主函数
在这里插入图片描述
该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的COM对象被保存为ppvriidrclsid分别表示接口标识符(IID)和类标识符(CLSID),

最低0.47元/天 解锁文章
进一寸有一寸的欢喜077
关注
专栏目录
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1636
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 717
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战 Lab 7-2 习题笔记
isinstance的博客
09-26 1374
Lab 7-2问题1.这个程序如何完成持久化驻留?解答: 我们可以先从静态分析开始,然后这里估计会用一下动态分析看看 我们会发现这个导入库OLE32.DLL,然后导入了CoCreateInstance, OleInitialize, OleUninitialize这三个函数,这三个函数不是很常见的样子,但是导入了肯定有他的作用,我们查查看第一个函数CoCreateInstance这个函数是这样的看
Lab 7-2
bangren3304的博客
01-17 154
Analyze the malware found in the file Lab07-02.exe. Questions and Short Answers How does this program achieve persistence? A: This program does not achieve persistence. It runs once and then exi...
恶意代码分析实战07-02
Yale的博客
09-19 4205
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战实验7-2
qq_43481350的博客
09-01 230
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker 实验过程 首先我们可以使用Dependency Walker软件查看程序使用了哪些导入函数: 我们可以发现此函数会创建一个Co,OleInitialize用于初始化组件文件对象库,OleUninitialize用于关闭组件对象库 下面使用IDA进行分析分析以上主函数,发现其存在rid以及clsid,我们点开rid进入: 其圈出来的就是他的实际数据如下:0D30C1661- 0C
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1332
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 704
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 988
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
【原创翻译】COM入门简介 -- 什么是COM , 怎样使用它 (2)
此博客已停止更新,请转入 www.cnitblog.com/zhangsure
10-01 1561
Introduction to COM - What It Is and How to Use It By Michael Dunn From www.codeproject.com/**********原创翻译,转载请注明出处*********** 新手水平有限,欢迎批评指教 By FreeKid /COM入门简介 -- 什么是COM , 怎样使用它 (2)基本元素定义让我们从头
恶意代码分析实战 Lab 7-3 习题笔记
isinstance的博客
09-30 2801
Lab 7-3问题1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?解答: 我们还是先开始按静态分析来开始我们的分析(这里同时要分析.dll和.exe)我们会发现这里有一个CreateFileA和CopyFileA这两个函数,说明会创建一个文件和复制一个文件,这个创建文件可能会是什么日志之类的,复制文件可能是把病毒复制到某个地方然后是FindFirstFileA和FindNextF
恶意代码分析实战(7-01实验学习笔记)
Wings
04-27 2268
分析这个代码开始,先查看它的导入表 00404000 CreateServiceA ADVAPI32 创建一个服务进程,增加到服务控制器 00404004 StartServiceCtrlDispatcherA ADVAPI32 连接服务控制器线程,能够控制该线程 00404008 OpenSCManagerA
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 3071
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
恶意代码分析实战 Lab 7-1 习题笔记
isinstance的博客
09-20 1777
Lab 7-1问题1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)解答: 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数,会操作一个互斥量和一个线程还有这些好玩的函数,比如SetWaitableTimer,这是由于设置一个定时的函数,可以在时间到来的时候发出一个信号来激活一个线程然后就是Sleep,这个说明这个
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1139
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战Lab 5-1
m0_37442062的博客
05-05 816
1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了) .text:1000D02E 2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址? .idata:100163CC 3.有多少函数调用了gethostbyname? Jump to xref operand 函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。 4.将精力集中在位于0x10001757处的对gethostbyname的
恶意代码分析实战实验Lab 6-4
m0_37442062的博客
05-06 627
Lab 6-4静态分析1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?2.什么新的代码结构已经被添加到main中?3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?4.这个程序会运行多久?(假设它已经连接到互联网。)5.在这个恶意代码中有什么新的基于网络的迹象吗?6.这个恶意代码的目的是什么?参考 静态分析 会动态生成Internet Explorer 7.50/pma%d。 导入表 和Lab 06-03.exe中相同 1.在实验6-3和6-4的main函数中的调用之间的
恶意代码分析实战实验Lab 6-1
m0_37442062的博客
05-06 430
Lab 6-11.由main函数调用的唯一子过程中发现的主要代码结构是什么?2.位于`0x40105F`的子过程是什么?3.这个程序的目的是什么?参考 1.由main函数调用的唯一子过程中发现的主要代码结构是什么? 先进行基础的静态分析 InternetGetConnectState函数用于检查本地系统的网络连接状态。 GetACP获取当前系统的代码页编码,如简体中文是 936。 GetCPinfo取得与指定代码页有关的信息。 使用strings GetCommandLineA获取命令行输入参数 E
《恶意分析》中的lab07-02实验
最新发布
06-19
而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值