病毒分析教程第二话--动态行为分析

最新推荐文章于 2024-05-09 20:09:41 发布
最新推荐文章于 2024-05-09 20:09:41 发布
阅读量3.7k 收藏 10
点赞数 1
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/80877209
版权
本文通过四个实验室,介绍了动态行为分析技术在病毒分析中的应用,包括使用Process Explorer和Process Monitor监控进程行为,分析DNS请求和网络数据包,揭示了恶意软件的自启动、服务安装、进程注入及键盘记录等恶意行为。
摘要由CSDN通过智能技术生成

动态行为分析

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

若样本经过了高级加密,使用静态特征分析将得不到太多有价值的信息,这时候就需要我们使用动态行为分析技术了,这种技术也叫行为监控。

Lab 3-1

本节实验使用样本Lab03-01.exe。
Lab03-01.exe

导入函数和字符串

查看导入表,只有一个ExitProcess,该样本应该是被加密过,通过导入表得不到什么信息。
Imports

样本被加密过的,但在字符串表中我们却发现了很多可视化的字符串,接下来我们就使用动态行为分析技术来看看这些字符串背后的恶意行为。
Strings

Process Explorer

运行样本后,使用ProcExp查看进程信息,点击View->Lower Pane View->Handles,可以在下方的窗口中发现该进程创建了一个名为WinVMX32的互斥量。
Mutant

点击View->Lower Pane View->DLLs,可以查看该进程导入了哪些DLL,如下图中的红色框,我们发现了该进程导入了几个与socket有关的DLL,那么就可以猜测该进程发起了网络连接。
Dll

Process Monitor

运行程序前先配置ProcMon的规则,我配置了以下3个过滤规则(用于筛选出我们关心的恶意行为):

  1. 进程名为Lab03-01.exe
  2. 写注册表的操作
  3. 创建文件的操作
最低0.47元/天 解锁文章
G4rb3n
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析教程第五--动态调试分析(上)
安全杂货铺
09-05 1280
s
计算机病毒实践汇总三:动态分析基础(分析程序)
weixin_30865427的博客
05-13 338
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 1. 实践内容 搜索、下载并执行Process Monitor,观察随着时间的推移,软件所记录信息;设置监控条件对恶意代码敏感的功能进行监控。 搜索、下载并执行Process Explorer,查看进程列表,选择相应进程进行签名验证,对比其硬盘上的文件和内存中的镜像,结合Dependency Walker对其...
网络安全最全如何利用沙箱进行恶意软件分析?_恶意程序沙箱(1),2024年最新详细的网络安全学习指南
最新发布
2401_84254343的博客
05-09 391
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
病毒行为分析初探(一)
weixin_33887443的博客
11-14 823
病毒行为分析初探(一) 病毒、木马,一对讨厌的家伙,可就是有人对此乐此不疲。那些制造病毒、木马的人就是会武术的流氓啊。 病毒和木马原来还是有点区别的。 病毒一旦侵入您的电脑,打砸抢摔,胡作非为,不把你的计算机搞死也得弄个瘫痪,非常张扬,为恐别人不知道他的存在,另外他通常还有传播感染的能力,折腾一台还不过瘾,欲拖垮一大片,肆意嚣张。那些病毒的...
病毒分析系列3 | 初步动态分析工具使用
SpaceSec的博客
11-02 663
接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作其实到初步动态分析这一步,很多病毒的基本分析已经可以实现了。但是如果遇到病毒本身具有较强的反调试、反分析的能力,那还需要进行逆向分析。如果有需要,基本分析这一块还可以展开讲讲,欢迎大家反馈。
计算机病毒实践总结二:简单动态分析
weixin_30444105的博客
05-22 400
主要参考资料:《恶意代码分析实战》 本文是基于计算机病毒课程实践部分的总结,这些实践是自主尝试学习分析恶意代码的过程,如有疏漏不妥之处,还请不吝赐教! 我的相关博客 实践部分: 计算机病毒实践汇总二:BUFFERZONE沙盘使用体验 计算机病毒实践汇总三:动态分析基础(分析程序) 计算机病毒实践汇总四:NETCAT使用方法 计算机病毒实践汇总五:搭建虚拟网络环境 读书部分:《恶意代码分析...
动态行为
dodomail的专栏
06-17 1014
能够改变显示,并与服务器通信.然而,是什么触发这些动作? Ajax应用通常从浏缆器内驱动,因此,这里就是动作被出发的地方.一般说来.有两种触发机制 第一种称为User Action(用户动作),例如鼠标点击和按键动作 第二种称为Scheduling(日程安排),在这种机制里,动作被预订,在未来某个时刻执行....
龙哥制作电脑病毒第三课教程
03-15
8. **逆向工程**:理解病毒的工作原理有时需要进行逆向工程,即分析已知病毒的代码来找出其行为模式。这部分可能涉及到调试器和反汇编器的使用。 9. **安全编码**:为了防止编写出的代码被恶意利用,课程可能会教授...
Android之病毒与反病毒开发教程+源码.rar
03-13
源码分析部分,开发者可以研究如何实现上述功能,例如如何解析APK文件,如何构建特征库,以及如何实现动态监控和行为分析。这有助于深入理解反病毒机制,并能根据实际情况优化和定制解决方案。 总的来说,Android...
2008年版全国计算机等级考试教程-二级公共基础知识PDF
12-29
通过2008年版的全国计算机等级考试教程-二级公共基础知识的学习,考生可以全面了解计算机领域的基础知识,为未来在IT领域的工作或进一步学习打下坚实的基础。教程中的每个章节都会深入浅出地讲解这些知识点,并通过...
Analysize-Tools:这是我开发的一些有助于分析恶意软件的工具
03-29
3. **动态分析**:动态分析涉及在受控环境中运行恶意软件并观察其行为。这可能包括使用沙箱技术(如Cuckoo Sandbox)或自定义虚拟环境来记录网络通信、文件创建、注册表修改等活动。 4. **日志和报告**:为了追踪...
EXE行为分析工具
01-01
分析EXE文件行为,可以用于下载文件试运行可能是病毒的文件,且不会对系统造成破坏
黑基教程 第三课手工清除QQ连发消息病毒
10-09
在黑基VIP教程中,我们会提供更详细的步骤和技巧,包括如何使用专业工具分析病毒行为,以及如何预防未来的攻击。通过学习这些知识,你将能够更好地保护自己和他人的电脑安全,避免遭受类似QQ连发消息病毒的困扰。
病毒工具之病毒诊断程序(更新版增加智能行为分析功能)
chenhui530的专栏
02-13 2913
程序简介:         本程序是一个ring3级的病毒诊断程序,利用了ring3下的API   HOOK技术监视了特定程序和其所有子进程的文件,注册表,进程,线程,内存的全面操作,并记录在日志文件中(日志文件名叫“myText.txt”在和程序同一目录中)。通过此程序可以帮助一些专业人士分析病毒行为,进而做出一些防范措施。程序从前天开始开发昨天初步完成。这两天一直在更新这个程序,增加了感染型
作业三 使用病毒分析工具对病毒进行分析
m0_56948411的博客
06-04 1084
作业三 使用病毒分析工具对病毒进行分析实验目的1、学习和掌握如何使用工具对病毒进行分析。2、学习和掌握病毒的各项行为,并对行为做出。实验环境操作环境:Windows7实验工具:腾讯哈勃分析系统、Process Monitor、PeiD、IDA pro、Regshot实验原理通过几种病毒分析工具,对病毒进行分析。实验过程与分析 如图1-1所示,使用腾讯哈勃分析系统对病毒进行分析。如图1-2所示,上传病毒worm文件到系统中,分析出来的结果是“高度风险“。下面有病毒的详细信息。 如图1-3所示,首先是基本信息,
病毒分析中的一点小结
richard1230的博客
03-03 723
病毒分析中的一些小结(病毒行为分析) (样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7 发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!...
病毒分析常用工具集
哆啦安全
09-14 1543
FileMonitor(系统文件监视器) 查壳工具 ProcessMonitor(监控程序运行) StudyPE+查壳PE样本的导入表 upx脱壳工具 Windows可执行二进制文件静态分析取证工具 查看PE文件信息工具 PYG密码学综合工具 RECalcTool.app.ver2.3.win QT静态编译单文件版本 https://pan.baidu.com/s/151UVHKb7gjviX...
病毒分析常用软件
kernweak的博客
08-20 1882
Process Explorer进程浏览器,可以使用验证 Dependency Walker探索动态链接函数 RegShot 注册表比较工具 ApateDNS 查看恶意代码发出DNS请求。 Netcat进行网络监控 Wireshark 抓包 INetSim 基于linux模拟常见的网络服务软件 Process Explorer 可以看加载的dll还有handle Process M...
病毒分析教程第五--动态调试分析(中)
安全杂货铺
09-18 503
动态调试分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。 PS:由于动态调试分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 9-1 本节实验使用样...
计算机二级office第1章(-计算机基础知识)考纲版复习资料.ppt
12-27
"计算机二级Office第1章主要涵盖了计算机基础知识,该章节详细讲解了MS Office软件包,它是微软公司的核心办公套件,包括Word、Excel、Access和PowerPoint等工具,运行在Windows平台上。本章的学习内容主要包括五个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值