病毒分析教程第五话--动态调试分析(下)

最新推荐文章于 2021-09-19 22:10:18 发布
最新推荐文章于 2021-09-19 22:10:18 发布
阅读量580 收藏 2
点赞数
分类专栏: 恶意软件分析 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/82769612
版权

动态调试分析(下)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 9-3

本节实验使用样本Lab09-03.exe、DLL1.dll、DLL2.dll、DLL3.dll。

Lab09-03.exe导入了哪些DLL?

我们用OD打开函数调用,发现Lab09-03.exe显性地导入了DLL1和DLL2、kernel32.dll和NetAPI32.dll。为什么说是显性呢?因为样本一般还会通过调用LoadLibrary隐形地调用敏感的DLL,如下就是,我们看到Lab09-03.exe有调用LoadLibrayA。
1

我们使用IDA可以方便地看到样本在两处调用了LoadLibraryA,分别导入了DLL3.dll和user32.dll。
2

3

DLL1.dll、DLL2.dll、DLL3.dll要求的基地址是多少&#x

最低0.47元/天 解锁文章
G4rb3n
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Practical Malware Analysis
09-26
Malware analysis is big business, and attacks can cost a company dearly. When malware breaches your defenses, you need to act quickly to cure current infections and prevent future ones from occurring. For those who want to stay ahead of the latest malware, Practical Malware Analysis will teach you the tools and techniques used by professional analysts. With this book as your guide, you'll be able to safely analyze, debug, and disassemble any malicious software that comes your way. You'll learn how to: Set up a safe virtual environment to analyze malware Quickly extract network signatures and host-based indicators Use key analysis tools like IDA Pro, OllyDbg, and WinDbg Overcome malware tricks like obfuscation, anti-disassembly, anti-debugging, and anti-virtual machine techniques Use your newfound knowledge of Windows internals for malware analysis Develop a methodology for unpacking malware and get practical experience with five of the most popular packers Analyze special cases of malware with shellcode, C++, and 64-bit code Hands-on labs throughout the book challenge you to practice and synthesize your skills as you dissect real malware samples, and pages of detailed dissections offer an over-the-shoulder look at how the pros do it. You'll learn how to crack open malware to see how it really works, determine what damage it has done, thoroughly clean your network, and ensure that the malware never comes back. Malware analysis is a cat-and-mouse game with rules that are constantly changing, so make sure you have the fundamentals. Whether you're tasked with securing one network or a thousand networks, or you're making a living as a malware analyst, you'll find what you need to succeed in Practical Malware Analysis.
malware analysis
weixin_34059951的博客
02-05 207
http://www.goodreads.com/shelf/show/malware
Android Malware and Analysis (android恶意软件分析)
03-07
Android Malware and Analysis (android恶意软件分析),最新版的安卓系统hacking技术 学习安卓系统级黑客必备!强烈推荐!
Practical Malware Analysis Lab9
40KO的博客
03-15 596
Lab9-1 不走程序直接逆。标注完的主函数如下 int __cdecl main(int argc, const char **argv, const char **envp) { char port; // [sp+10h] [bp-181Ch]@31 char ups; // [sp+410h] [bp-141Ch]@31 char url; // [sp+810h] [b...
恶意代码分析实战 第七章课后实验
Stronger_99的博客
04-12 664
看一下字符串: 然后分析主函数: 这个main函数很简短,看到了StartServiceCtrlDispatcherA函数,这个函数是来实现一个服务,并且指定了要调用的函数就是sub_401040,双击进去看一下: 发现这里调用了一个OpenMutexA函数,这个函数会尝试获取"HGL345"这个互斥量,获取到就说明已经有一个恶意程序在运行了,则调用ExitProcess...
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
本资源为《计算机病毒分析》在线作业-2 参考答案,涵盖计算机病毒、木马、恶意代码、逆向工程、调试技术等多方面的知识点。 1. SSDT 钩挂的方法有遍历 SSDT 表、使用查杀病毒的软件、查找异常的函数入口地址等,但...
Practice-Malware:恶意软件和分析实践
04-10
5. **取证分析**:收集并分析受感染系统的证据,以确定攻击路径和损害范围。 6. **利用Python进行分析**:Python是一种强大且灵活的编程语言,常用于自动化分析任务。例如,可以编写脚本来提取文件元数据、解密隐藏...
( selenium-ide-2.9.0安装教程.docx )
08-28
在Selenium IDE 2.9.0的安装过程中,由于官方下载站点可能存在访问问题,你可以选择从可靠的第三方源下载离线安装包。确保下载的文件是安全无病毒的,因为这涉及到在你的计算机上运行的软件。 安装步骤如下: 1. *...
2022年优秀-Linux网络服务器配置与管理5.pptx
最新发布
11-14
5. 安全性配置,包括限制不必要的开放端口、配置防火墙规则以及安装防垃圾邮件和病毒扫描软件。 实训环节通常包括设置虚拟主机、添加域、创建用户邮箱、调试邮件传递问题等内容,以确保邮件服务器在实际环境中能...
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1442
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
病毒分析教程第六--高级病毒分析(中)
安全杂货铺
12-10 834
高级病毒分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1584
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
OllyDbg使用方法
Hvnt3r的博客
03-24 6215
知识点 **加载恶意代码:**OD可以直接加载可执行文件,也可以加载DLL文件,也可以将调试器附加在进程中,我们甚至可以用命令行运行恶意代码或者执行DLL中的某个函数。 **加载可执行文件:**在加载可执行文件的候OD会使用它的加载器来加载这个程序,并可在此过程选择运行的命令行参数。如果OD能确定程序的main函数就在main处中断,否则在程序PE头提供的程序入口点中断。 **附加调试器到一个程...
恶意代码分析实战07-01
Yale的博客
09-19 590
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题 Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留) Q2.为什么这个程序会使用一个互斥量? Q3.可以用来检测这个程序的基于主机特征是什么? Q4检测这个恶意代码的基于网络的特征是什么 Q5这个程序的目的是什么 Q6这个程序什么候完成执行 先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数 ​ 比如上图的openscmanager和createService,starts
恶意代码分析实战Lab01-03,lab01-04
Yale的博客
07-13 2223
分析lab01-03.exe,lab01-04.exe 先来看lab01-03.exe Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的。 Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这
恶意代码分析实战 Lab 9-1 习题笔记
isinstance的博客
11-13 2040
Lab 9-1问题1.如何让这个恶意代码安装自身?解答: 这个既然开始了动态调试的部分,我们就只用OD来进行操作了,因为这个版本的恶意代码都是针对XP的,所以我打算是把OD装到XP那台运行代码的机器上这里我们还是跟这书上的步骤走走,先摸清摸清一下套路我们先打开OllyDbg,我这个是从官网下载的,原版的1.x的东西,然后大概是这样这里稍微说一下这个OllyDbg调整字体的方式如果你用是吾爱破解版的
Linux内核级木马与病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1411
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
恶意代码分析实战 Lab 7-1 习题笔记
isinstance的博客
09-20 1716
Lab 7-1问题1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)解答: 我们还是按照书上的步骤走一遍看看先是静态分析我们会发现这里有一个CreateMuteA和CreateThread的函数,会操作一个互斥量和一个线程还有这些好玩的函数,比如SetWaitableTimer,这是由于设置一个定的函数,可以在间到来的候发出一个信号来激活一个线程然后就是Sleep,这个说明这个
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析间。为了阻止调试器的分析,当恶意代码意识到自己被调试,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同也会介绍一些逃避反
深入理解Linux二进制分析:从ELF到病毒防护
第五章讨论了Linux二进制保护方法,包括防止未授权修改和逆向工程的技术。第六章和第七章分别聚焦于ELF二进制在Linux环境下的取证分析和进程内存取证,这对于检测恶意软件和恢复受损系统至关重要。 第八章介绍了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值