病毒分析教程第三话--静态逆向分析(上)

最新推荐文章于 2023-01-24 20:46:32 发布
最新推荐文章于 2023-01-24 20:46:32 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/81002667
版权

静态逆向分析(上)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

使用上两话静态特征分析和动态行为分析的方法只能从宏观的角度分析样本,但由于无法得到源代码,所以我们无法确凿地判定这些样本就是恶意的。本着格物致知的宗旨,我们现在学习使用静态逆向分析的方法,从反汇编的角度来分析一个样本。

PS:由于静态逆向分析过程冗杂,所以本话使用问答的方式进行讲解。

Lab 5-1

本节实验使用样本Lab05-01.dll。
Lab05-01.dll

使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。
Exeinfo

DllMain的地址是什么?
直接点击左侧DllMain地址,便可在右侧窗口看到其地址,为0x1000D02E。这里顺带提一句,我们分析样本从DllMain开始分析就好了,因为所有DllEntryPoint到DllMain之间执行的代码一般是由编译器生成的,我们不必去分析。
DllMain

使用Imports窗口并浏览到gethostbyname,导入函数定位到什么位置?
点击上方的Imports标签,便可看到导入表,然后按Ctrl+F搜索gethostbyname,位置在.idata节的0x100163CC处。

最低0.47元/天 解锁文章
G4rb3n
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
病毒分析教程第三--静态逆向分析(下)
安全杂货铺
07-17 1134
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1438
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
lab05-1课后题
shannow_123的博客
05-15 601
1.DLLMain地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么位置?
恶意代码分析实战 3 IDA Pro
农夫果园好好喝的博客
01-24 1235
双击进入sub_100038EE函数查看,发现其调用了了malloc函数创建了内存空间,然后又调用了send函数,最后调用了free函数释放内存空间,所以猜测可能是对注册表SOFTWARE\Microsoft\Windows\CurrentVersion进行了修改或查询操作,然后再将结构发送出去。该函数调用了GetSystemDefaultLangID和send,该信息告诉我们,该函数可能通过socket发送语音标志,因此,右击函数名,给他一个更有意义的名字,例如send_languageID。
恶意代码分析实战 Lab 5-1 习题笔记
isinstance的博客
09-06 5901
Lab 5-1问题1.DllMain地址是什么?解答: 这个我们用IDA Pro打开来查找,因为最新的IDA Pro不支持我们运行病毒那个虚拟机的版本(xp pro 32),所以下面的分析都是在win7上的打开IDA Pro之后就会提示你是否打开一个叫proximity browser的东西,然后打开这个东西就可以看到DllMain的位置如果没有跳出来,这里可以点开这个窗口然后右键选择Text v
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-20 4057
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll 1.实验目的 利用IDA Pro分析Lab05-01.dll中发现的恶意代码,回答以下问题: DLLMain地址是什么? 使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 有多少函数调用了gethostbyname? 将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗? IDA Pro 识别了在0x10001656处的子过程中的多少个局部变量?
恶意代码分析实战5-1
qq_51459600的博客
09-16 419
恶意代码分析实战Lab5-1 文章目录恶意代码分析实战Lab5-11.DllMain地址是什么?2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址?3.有多少函数调用了gethostbyname?4.将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗?5.IDAPro 识别了在0x10001656处的子过程中的多少个局部变量?6.IDAPro识别了在0x10001656处的子过程中的多少个参数?7.使用String
加壳formbook病毒分析中间文件
最新发布
02-08
**第三阶段:动态分析**。动态分析是在受控环境中运行样本,观察其行为。这可能包括使用沙箱环境、调试器(如OllyDbg或WinDbg)或内存取证工具。通过对程序的执行流程进行监控,研究人员可以发现病毒如何启动、何时...
Practice-Malware:恶意软件和分析实践
04-10
2. **静态分析**:不执行恶意软件的情况下,分析其二进制代码和元数据。这包括反编译、查看资源、查找潜在的恶意函数等。 3. **动态分析**:在受控环境中(如沙箱)运行恶意软件,观察其行为,记录网络通信、文件...
Android-Malware-Analysis:此回购包含Android恶意软件样本和分析
03-25
它们可能伪装成合法的应用,通过各种渠道如第三方应用市场、欺诈链接等进行分发。Android恶意软件的常见类型包括但不限于:勒索软件、广告软件、银行木马和信息窃取者。 CryCryptor是一种Android平台上的勒索软件,...
易语言改变自身MD5源码-易语言
06-13
这可能用于某种形式的混淆或者防止静态分析,使得逆向工程师更难理解程序的行为。 总的来说,这个源码示例展示了易语言在高级编程技巧上的应用,如自我修改、MD5计算以及可能的随机化策略。学习这样的源码可以帮助...
Android恶意代码——木马APK分析.pdf
09-21
库和 Android 运行环境层是 Android 平台的第三层,分为两部分:库是一系列 C/C++ 语言编写的原生库,这些库可以供所有上层组件调用;Android 运行时环境包含 Dalvik 虚拟机和核心库,其提供了访问本地库、硬件和...
恶意代码实战分析Lab05-01
王陈锋的博客
06-10 739
Lab05-01 只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。 1.DllMain地址是什么? 使用IDA打开后,鼠标所在位置 或者点击图中红色区域 然后会出现viewB 然后可以右键点击 便到了dllmain的开头地址。 2.使用Imports窗口并浏览到gethostbyna......
恶意代码分析实战Lab 5-1
m0_37442062的博客
05-05 791
1.DllMain地址是什么? 使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了) .text:1000D02E 2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址? .idata:100163CC 3.有多少函数调用了gethostbyname? Jump to xref operand 函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。 4.将精力集中在位于0x10001757处的对gethostbyname的
恶意代码分析实战-lab5-1
qq_41810304的博客
07-18 1205
《恶意代码分析实战》这本书简要的讲了一下IDA咋用,虽然以前做CTF也用过,但是只是一些简单的题,所以只会Ctrl+F,搜索“main”,然后F5,看伪代码。经过一段时间的简单学习,好像会一点点了,但是真的只会一点点。即便如此,我还是记录一下这次的学习吧。 在这学习之前,我还是要瞎扯几句。作为初学者,我按照书上的注意事项,选择了binary方式反编译,然而,啥也没有,连导出和导入函数都没有。果然初学者还没有理解透的情况下还是默认反编译吧。文中多多少少会有一些错误的地方,请各...
【Android 逆向】Android 逆向方法 ( 静态逆向解析 | 函数调用分析 | 动态运行跟踪 | 运行日志分析 | 文件格式解析 | 敏感信息分析 | 网络信息监控 | 环境伪装模拟 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-05 1990
一、Android 逆向方法、 1、静态逆向解析、 2、函数调用分析、 3、动态运行跟踪、 4、运行日志分析、 5、文件格式解析、 6、敏感信息分析、 7、网络信息监控、 8、软件动态调试、 9、环境伪装模拟
DllMain详解
许振坪的专栏
06-02 3万+
DllMain详解源码下载:       DLL – 动态链接库       DllMainTest – 测试DLLDllMain1  DLL的进入/退出函数1.1  DllMain简介跟exe有个main或者WinMain入口函数一样,DLL也有一个入口函数,就是DllMain。以“DllMain”为关键字,来看看MSDN帮助文档怎么介绍这个函数的。The DllM
浅谈逆向——静态分析简介(静态分析1)
qq_38684512的博客
01-28 1254
浅谈逆向-IDA简介IDA PROIDA反汇编选项配置IDA界面简介交叉参考参考重命名标签创建函数 IDA PRO IDA是按照区块装载PE文件的。 .text | 代码块 .data | 数据块 .rsrc | 资源块 .idata | 输入表 .cdata | 输出表 IDA反汇编选项配置 Option->General(选项->常规) 左侧从上至下...
Windows Hook原理与实现
热门推荐
安全杂货铺
08-06 4万+
Windows Hook原理与实现 教程参考自《逆向工程核心原理》 1.概述 Hook技术被广泛应用于安全的多个领域,比如杀毒软件的主动防御功能,涉及到对一些敏感API的监控,就需要对这些API进行Hook;窃取密码的木马病毒,为了接收键盘的输入,需要Hook键盘消息;甚至是Windows系统及一些应用程序,在打补丁时也需要用到Hook技术。接下来,我们就来学习Hook技术的原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值