恶意代码分析实战
文章平均质量分 83
进一寸有一寸的欢喜077
信息化从业人员
展开
-
恶意代码分析实战实验Lab 7-3
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考静态分析strings + IDA pro查看字符串exekerne`132`.dllkernel32.dllC:\windows\system32\kerne`132`.dllC:\Windows\System32\Kerne原创 2021-05-06 17:40:13 · 695 阅读 · 0 评论 -
恶意代码分析实战实验Lab 7-2 +
Lab 7-2静态分析 IDA PRO动态分析1.这个程序如何完成持久化驻留?2.这个程序的目的是什么?3.这个程序什么时候完成执行?参考静态分析 IDA PRO字符串信息很少,但是没有加壳。使用strings工具书上说这个是Unicode字符。导入函数和COM对象有关。CoCreateInstance和OleInitialize函数使用COM功能。主函数该恶意代码第一件事初始化COM,调用OleInitialize函数和CoCreateInstance获得一个COM对象。返回的CO原创 2021-05-06 16:05:14 · 471 阅读 · 0 评论 -
恶意代码分析实战实验Lab 7-1
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考静态分析IDA Pro字符串:可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int原创 2021-05-06 15:34:51 · 671 阅读 · 0 评论 -
恶意代码分析实战实验Lab 6-4
Lab 6-4静态分析1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?2.什么新的代码结构已经被添加到main中?3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?4.这个程序会运行多久?(假设它已经连接到互联网。)5.在这个恶意代码中有什么新的基于网络的迹象吗?6.这个恶意代码的目的是什么?参考静态分析会动态生成Internet Explorer 7.50/pma%d。导入表和Lab 06-03.exe中相同1.在实验6-3和6-4的main函数中的调用之间的原创 2021-05-06 14:46:20 · 608 阅读 · 0 评论 -
恶意代码分析实战实验Lab 6-3
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考静态分析IDA pro查看字符串除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动原创 2021-05-06 11:04:23 · 411 阅读 · 0 评论 -
恶意代码分析实战实验Lab 6-2
Lab 6-2静态分析动态分析1.由main函数调用的第一个子过程执行了什么操作?2.位于`0x40117F`的子过程是什么?3.被mian函数调用的第二个子过程做了什么?4.在这个子过程中使用了什么类型的代码结构?5.在这个程序中有任何基于网络的特征的指示吗?6.这个恶意代码的目的是什么?参考静态分析使用IDA pro查看字符串有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于原创 2021-05-06 09:53:42 · 327 阅读 · 0 评论 -
恶意代码分析实战实验Lab 6-1
Lab 6-11.由main函数调用的唯一子过程中发现的主要代码结构是什么?2.位于`0x40105F`的子过程是什么?3.这个程序的目的是什么?参考1.由main函数调用的唯一子过程中发现的主要代码结构是什么?先进行基础的静态分析InternetGetConnectState函数用于检查本地系统的网络连接状态。GetACP获取当前系统的代码页编码,如简体中文是 936。GetCPinfo取得与指定代码页有关的信息。使用stringsGetCommandLineA获取命令行输入参数E原创 2021-05-06 08:46:38 · 420 阅读 · 1 评论 -
恶意代码分析实战Lab 5-1
1.DllMain的地址是什么?使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了).text:1000D02E2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址?.idata:100163CC3.有多少函数调用了gethostbyname?Jump to xref operand函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。4.将精力集中在位于0x10001757处的对gethostbyname的原创 2021-05-05 18:38:01 · 800 阅读 · 1 评论 -
恶意代码分析实战实验Lab 3-3+Lab 3-4
Lab 3-31.当你使用Process explorer工具进行监视时,你注意到了什么?每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe2.你可以找出任何的内存修改行为吗?工具:process monitor单击然后选择image和memorypracticalmalwareanalysis.log[SHIFT][ENTER][BACKSPACE]BACKSPACE[TAB][CTRL][DEL][CAPS原创 2021-05-05 11:13:40 · 358 阅读 · 0 评论 -
恶意代码分析实战实验Lab 3-1 + Lab 3-2
Lab 3-1使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。问题1.找出这个恶意代码的导入函数与字符串列表?使用PEID和strings发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。所以说题目中说使用动态分析嘛使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。使用strings查看字符串比较可疑的字符串CONNECT %s:%i HTTP/1.0 联网admin 管理员vmx32to64.exe 检测虚拟机原创 2021-05-05 10:41:36 · 970 阅读 · 0 评论 -
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。PEID通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。对于脱壳后的exe文原创 2021-05-04 21:19:23 · 1306 阅读 · 0 评论 -
恶意代码分析实战实验Lab 1-1
Lab 1-1对Lab01-01.exe和Lab01-01.dll进行分析问题1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?Lab01-01.exe:在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等)在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。Lab01-01.dll:同理上传即可2.这些文件是什么时候编译的?使用PEView,这里应该有一个Time原创 2021-05-04 20:59:42 · 1107 阅读 · 0 评论