病毒分析教程第五话--动态调试分析(上)

最新推荐文章于 2023-08-21 20:52:20 发布
最新推荐文章于 2023-08-21 20:52:20 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/82355281
版权
本文是病毒分析教程的一部分,介绍了动态调试分析技术在恶意软件分析中的应用。通过实例展示了如何使用OD动态调试工具分析恶意代码,包括设置断点、检查函数调用,以及如何通过修改代码实现密码跳过。文中详细阐述了恶意代码的安装过程,涉及服务创建、注册表操作和文件伪装等步骤,并揭示了其网络通信和后门木马特性。
摘要由CSDN通过智能技术生成

动态调试分析(上)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。

PS:由于动态调试分析过程冗杂,所以本话使用问答的方式进行讲解。

Lab 9-1

本节实验使用样本Lab09-01.exe。
我们学习动态调试技术并不是为了用它取代静态分析技术,而是将两者配合使用,因为这两者各有各的优势,动静结合通常是分析恶意软件的常规方法。如下图,寻找main函数地址就是IDA的优势,我们可以先通过IDA定位main函数地址,再用OD跟进。
1

如何让这个恶意代码安装自身?
使用OD在0x40AF0上下断点,运行到main函数入口点,然后我们发现有一个call 0x402EB0的指令,其实从上图的IDA图中可以知道0x402EB0就是__alloca_probe,我们不必分析。接着判断是否携带有参数,我调试时没有,则顺利执行call 0x401000。
2

进入0x401000,它的功能是检查注册表项HKLM\SOFTWARE\Microsoft\XPS和键Configuration存不存在。
3

我的主机上没有该注册表项,故函数返回0,顺着执行0x402410函数。
4

0x402410函数首先获取获取当前路径名,然后调用cmd进行自删除。
5

由于现在我们OD附加在Lab09-01.exe上,所以不会被删除。执行完这操作后,程序退出。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
病毒分析教程第五--动态调试分析(中)
安全杂货铺
09-18 517
动态调试分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。 PS:由于动态调试分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 9-1 本节实验使用样...
病毒分析教程第二--动态行为分析
安全杂货铺
07-07 3783
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
调试脚本病毒
weixin_30270889的博客
07-17 219
1、背景 截获病毒样本时遇到各类脚本病毒样本。 2、调试.wsf脚本 .wsf格式文件是windows脚本文件(Windows Script File)的简称,一个wsf文件中不仅可以同时包含js和vbs脚本,而且可以包含Perl、Object REXX、python、 Kixtart等脚本。这类脚本右键打开则可看见加密后的代码,用Visual Studio可对该类脚本调试。通过VS自带...
计算机病毒实践总结二:简单动态分析
weixin_30444105的博客
05-22 421
主要参考资料:《恶意代码分析实战》 本文是基于计算机病毒课程实践部分的总结,这些实践是自主尝试学习分析恶意代码的过程,如有疏漏不妥之处,还请不吝赐教! 我的相关博客 实践部分: 计算机病毒实践汇总二:BUFFERZONE沙盘使用体验 计算机病毒实践汇总三:动态分析基础(分析程序) 计算机病毒实践汇总四:NETCAT使用方法 计算机病毒实践汇总五:搭建虚拟网络环境 读书部分:《恶意代码分析...
计算机病毒实践汇总三:动态分析基础(分析程序)
weixin_30865427的博客
05-13 351
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 1. 实践内容 搜索、下载并执行Process Monitor,观察随着时间的推移,软件所记录信息;设置监控条件对恶意代码敏感的功能进行监控。 搜索、下载并执行Process Explorer,查看进程列表,选择相应进程进行签名验证,对比其硬盘上的文件和内存中的镜像,结合Dependency Walker对其...
病毒分析教程第五--动态调试分析(下)
安全杂货铺
09-20 590
动态调试分析(下) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 9-3 本节实验使用样本Lab09-03.exe、DLL1.dll、DLL2.dll、DLL3.dll。 Lab09-03.exe导入了哪些DLL? 我们用OD打开函数调用,发现Lab09-03.exe显性地导入了DLL1和DLL2、kernel32.d...
病毒分析教程第六--高级病毒分析(上)
安全杂货铺
11-23 680
病毒分析教程第五动态调试分析(下)
病毒分析教程第三--静态逆向分析(下)
安全杂货铺
07-17 1138
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
病毒分析系列3 | 初步动态分析工具使用
SpaceSec的博客
11-02 691
接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作其实到初步动态分析这一步,很多病毒的基本分析已经可以实现了。但是如果遇到病毒本身具有较强的反调试、反分析的能力,那还需要进行逆向分析。如果有需要,基本分析这一块还可以展开讲讲,欢迎大家反馈。
学习笔记-第八章 恶意代码分析实战
Yes_butter的博客
03-15 528
第八章 动态调试 1.源代码级与汇编级的调试器 多数软件开发者熟悉源码级的调试器。这类调试器一般内置于集成开发环境中。为了检查程序内部变 量的状态一次一行的运行程序,源码级别的调试器允许设置断点,让程序中断在源代码某行。 汇编级调试器,也称为底层调试器,它的操作对象不是源代码而是汇编代码。同源代码级调试器一 样,你也可以使用汇编级调试器按照一次一条指令的方式运行程序。在某行汇编代码上设置...
IDA动态调试病毒样本准备工作
weixin_30932215的博客
12-19 128
准备: 1. IDA 2. Nokia PC 套件 :下载地址:http://nds1.nokia.com/files/support/global/phones/software/Nokia_PC_Suite_7_1_18_0_chi_sc_web.exe 3. SISContents工具 病毒样本压缩包截图 第一步: 使用Nokia提供的解压工具SISContents打开上...
恶意代码分析-第八章-动态调试
每昔的博客
07-31 965
内核模式/用户模式 用户模式:调试的程序会与其他程序隔离 内核模式:会需要两个系统,一个运行被调试的代码,另一个运行调试器,还有须配置操作系统使得开启内核调试功能,并将两个系统连通。 windbag--支持内核调试和用户调试 Ollydbg--支持用户模式 单步跳过--某些函数调用永远不会返回,如果跳过此类函数,调试器将不能再次获得控制权。 异常 调试器通常有两次机会来处理同一个异常...
OD动态调试exe
最新发布
wuwuliuliu0524的博客
08-21 532
从00401350开始,F8一行一行进行调试,运行到00401362,一部分二维码打印出来,调试到中括号最下面即可停止,并且在下一个中括号开始重复操作,设置此处为新EIP-F8调试分析exe文件,用ida打开,找到主函数main,分析主函数可以发现,main在判断之后调用了l02等函数。以此类推,l04函数在00401365,F8运行到00401377打印,直至打印完全。开始找l02函数,左侧双击l02,跳转至00401350,这里是开始的位置。之前一直卡,好不容易搞懂一点,记下来记下来。
调戏木马病毒的正确姿势-基础篇
wodafa的博客
03-01 5169
目录 ----------------------理论基础篇-------------------    从科幻小说说起:         危险的潘多拉盒子         来说说应用程序编程接口         工欲善其事必先利其器         (*)正确地作死         (*)被劫持的应用程序接口         (***)Hook与QQ密码的战争        
IDA动态调试破解EXE文件与分析APK流程
道阻且长,行则将至。
10-11 5389
文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结 前言 在前一篇文章:JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析,本文主要来看如何使用 IDA 来调试 Android 中的 native 源码,因为现在一些 app,为了安全或者效率问题,会把一些重要的功能放到
windows下调试别人写的exe
Keivin
06-13 2799
方法有很多 会汇编的用ollydebug  这个我基本上看不明白  2用
病毒分析教程第一--静态特征分析
安全杂货铺
06-21 4634
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1459
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值