病毒分析教程第四话--高级静态逆向分析(下)

最新推荐文章于 2024-07-17 09:22:49 发布
最新推荐文章于 2024-07-17 09:22:49 发布
阅读量925 收藏 4
点赞数
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/81478870
版权
本文深入分析了Lab07-03.exe和Lab07-03.dll,揭示其恶意行为。程序首先判断启动参数,随后篡改C盘exe文件中的kernel32.dll引用为kernel132.dll。kernel132.dll伪装kernel32.dll并执行恶意代码。Lab07-03.dll检查互斥量,初始化网络,连接C&C服务器,接收并执行命令,如睡眠或创建进程。
摘要由CSDN通过智能技术生成

高级静态逆向分析(下)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 7-3

本节实验使用样本Lab07-03.exe和Lab07-03.dll。

Lab07-03.exe

先来分析Lab07-03.exe,程序的开头先判断参数是否为“WARNING_THIS_WILL_DESTROY_YOUR_MACHINE”,若不是则立即退出程序,不做任何操作。
1

然后打开文件C:\Windows\System32\Kernel32.dll和Lab07-03.dll,并将它们都映射到内存中。
2

将它们映射到内存中后,程序开始做一列串的乏味工作,这一大段只调用了两个函数sub_401040和sub_401070。这些函数均很短,并且几乎没有相互调用,所以我们猜测它们的主要功能是比较内存、计算偏移,或者写入内存。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
病毒分析教程第三--静态逆向分析(下)
安全杂货铺
07-17 1138
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1459
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
一个感染型的病毒逆向分析
Fly20141201. 的专栏
07-16 3623
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。 对于代码的具体分析: 关键
逆向分析学习入门教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
07-17 2127
从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。
简单病毒逆向分析
qq_62016430的博客
04-08 1121
电脑病毒(computer virus),或称电子计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发启动的行为。
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
病毒分析教程第三--静态逆向分析(上)
安全杂货铺
07-16 1548
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
病毒分析教程第二--动态行为分析
安全杂货铺
07-07 3783
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
病毒逆向分析
笔记本
03-18 4041
收到一个病毒样本,被告知高危,需要进行逆向分析分析完成之后写篇你想分析报告,第一次写病毒逆向报告,还不太会排版,见谅。 首先,先拿到病毒传到世界杀毒网上先看看检出率,不出意料,检出率还挺高(60 / 66),毕竟不算是特别新的病毒了, 但是在高检出率的同时,virustotal和腾讯的哈勃分析系统都没能检测到什么关键的病毒行为(腾讯只检出了打开事件,virustotal只检出Isdebug...
感染型病毒逆向分析
07-16
一个感染型病毒逆向分析,说实分析的不咋地,没有解决就等于没分析
病毒逆向研究
05-15
所有资料来自网上!如果侵犯了你的权力,请告之Xiaozi8112@tom.com
病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
Gleam的专栏
11-20 4629
一、前言         这次我们会接着上一篇的内容继续对病毒进行分析分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析病毒的行为。   二、病毒分析         现在程序执行到了loc_408171位置处:
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 8729
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
小甲鱼 OllyDbg 教程系列 (十六) : 简单病毒逆向分析
freeking101的博客
11-23 574
小甲鱼 OD教程(多态和变形分析): https://www.bilibili.com/video/av6889190?p=25 https://www.bilibili.com/video/av6889190?p=26 ReverseMe Tutorial.zip:https://pan.baidu.com/s/1xOUvXqX6lVdcCwQv...
病毒木马查杀实战第016篇:U盘病毒逆向分析
Gleam的专栏
04-20 1万+
比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1       可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看
对伪装docx文件病毒逆向分析
哆啦安全
04-26 759
1.病毒文件的基本信息分析 1.1病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 1.2病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 1.3trojan.generic病毒的定义信息 trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值