病毒分析教程第五话--动态调试分析(中)

最新推荐文章于 2022-06-08 14:31:13 发布
最新推荐文章于 2022-06-08 14:31:13 发布
阅读量517 收藏 2
点赞数
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/82726676
版权
这篇博客介绍了如何通过动态调试分析病毒样本Lab09-02.exe。通过OD调试工具,作者揭示了样本如何在运行时检查自身名称、解密域名,并创建反向shell连接到C&C服务器。调试过程中,详细分析了关键函数的作用,如_strrchr、strcmp、WSAStartup、WSASocketA、CreateProcessA等,以及恶意代码的混淆和解密机制。
摘要由CSDN通过智能技术生成

动态调试分析(中)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 9-2

本节实验使用样本Lab09-02.exe。

在二进制文件中,你看到的静态字符串是什么?

右键 -> 查找 -> 所有参考文本字串,我们看到了“cmd”和一些导入函数。
1

当你运行这个二进制文件时,会发生什么?

按下运行键,程序一下就终止了,看来要让该样本运行起来是有条件的。
2

怎样让样本运行起来?

样本没能运行起来,那就只能通过OD进行动态调试找原因了,先使用IDA查看OEP,为0x401128。
3

在0x401128处下断点,按下F9便来到了OE

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
病毒分析教程第五--动态调试分析(上)
安全杂货铺
09-05 1292
s
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1459
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
病毒分析教程第一--静态特征分析
安全杂货铺
06-21 4636
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
病毒分析教程第六--高级病毒分析
安全杂货铺
12-10 844
高级病毒分析教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
病毒分析教程第六--高级病毒分析(下)
安全杂货铺
12-21 656
高级病毒分析(下) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-3 本节实验使用样本Lab11-03.exe和Lab11-03.dll。 使用基础的静态分析过程,你可以发现什么有趣的线索? 在Lab11-03.exe包含跟“cisvc”相关的字符串,说明该程序应该会进行跟cisvc服务相关的操作,同时,该程序还...
病毒分析教程第五--动态调试分析(下)
安全杂货铺
09-20 590
动态调试分析(下) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 9-3 本节实验使用样本Lab09-03.exe、DLL1.dll、DLL2.dll、DLL3.dll。 Lab09-03.exe导入了哪些DLL? 我们用OD打开函数调用,发现Lab09-03.exe显性地导入了DLL1和DLL2、kernel32.d...
病毒分析教程第六--高级病毒分析(上)
安全杂货铺
11-23 681
病毒分析教程第五动态调试分析(下)
病毒分析教程第三--静态逆向分析(下)
安全杂货铺
07-17 1138
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集在三个红框的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
病毒分析教程第二--动态行为分析
安全杂货铺
07-07 3783
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
apatedns工具
12-05
apatedns用来查看恶意代码发出DNS请求最快捷的方式
病毒分析基础
hanyang291的专栏
05-24 1947
第 1 章病毒分析病毒分析是将病毒行为还原的过程,在此过程病毒的行为流程将被分解,病毒的每一步操作都有可能影响正常的操作系统配置或文件。病毒分析的基础是依托于逆向工程的基础,所以在做病毒分析工作之前好好学习下逆向工程知识。 如果在实体机里分析病毒,会影响到实体机的日常使用,所以我们需要建立虚拟的环境来分析病毒。 1.1 建立病毒分析环境用虚拟环境来分析恶意程序早在2000年就已经开始采
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
恶意代码分析-第八章-动态调试
每昔的博客
07-31 965
内核模式/用户模式 用户模式:调试的程序会与其他程序隔离 内核模式:会需要两个系统,一个运行被调试的代码,另一个运行调试器,还有须配置操作系统使得开启内核调试功能,并将两个系统连通。 windbag--支持内核调试和用户调试 Ollydbg--支持用户模式 单步跳过--某些函数调用永远不会返回,如果跳过此类函数,调试器将不能再次获得控制权。 异常 调试器通常有两次机会来处理同一个异常...
WSAStartup详解
Rex's Blog
04-17 2121
在做计网课程设计“DNS继服务器的实现”实验,在相关代码看到了该函数的出现,去网上查了下相关的资料,发现这个博主写的挺全的,是我需要的内容,因此特意转到这里,方便以后查看。 原博文链接 WSAStartup( ) 这里用通俗的语言解释一下这个函数,就类似于opencv一样,要添加链接库函数,cv.lib等,要添加到附加依赖项,或者通过#pragma co
恶意代码分析实战 Lab 10-1 习题笔记
isinstance的博客
01-15 2186
Lab 10-1 一些准备工作 首先就是配置内核调试的环境 我这里用的是VirtualBox而不是书上的VMware 所以这里可能会有一些的不同 书上说的是这样的 与用户态调试不同,内核调试需要一些初始化配置。首先需要配置虚拟操作系统并开启内核调试,然后配置VMware使虚拟机和宿主操作系统之间有一条虚拟化的串口,同时还应该配置宿主操作系统的WinDbg 我们按照书上的...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1546
Lab 9-2 问题 1.在二进制文件,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA,这里用IDA来查看比较方便点 这里显示了在二进制文件的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
简单病毒分析及手工查杀
m1287578441的博客
06-08 1718
简单病毒分析及手工查杀
MATLAB编程教程:二极管电流、力学问题与病毒繁殖分析
5. 编程实践与挑战:无论是病毒繁殖问题还是实际电路分析,这部分内容强调了编程能力在解决实际问题的作用,以及如何在实践应用所学知识,包括调试、数据分析和图表生成。 6. 版本差异:由于作者使用的MATLAB...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值