病毒分析教程第六话--高级病毒分析(下)

最新推荐文章于 2021-07-20 11:59:49 发布
最新推荐文章于 2021-07-20 11:59:49 发布
阅读量649 收藏 2
点赞数
分类专栏: 恶意软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/85128196
版权

高级病毒分析(下)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 11-3

本节实验使用样本Lab11-03.exe和Lab11-03.dll。

使用基础的静态分析过程,你可以发现什么有趣的线索?

在Lab11-03.exe包含跟“cisvc”相关的字符串,说明该程序应该会进行跟cisvc服务相关的操作,同时,该程序还跟Lab11-03.dll有关联。
1

Lab11-03.dll则包含有键盘监听相关的函数:GetForegroundWindow和GetAsyncKeyState。

最低0.47元/天 解锁文章
G4rb3n
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析流程总结
auriel的博客
04-27 6421
前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。                 一、在一个已经感染了病毒的机器上如何找到病毒文件?                找到
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1438
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
病毒分析必备工具及基本流程
huobengle
11-03 436
快毕业了也应该给自己定个明确的方向,对于病毒分析这方面的知识确实还是感兴趣的,这里收集了一些资料,给大家分享一下。 以下来自乌龟,略有改动先说说硬件: 条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行 虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了必备工具: Windows XP(别嫌弃老,老有老的好处,轻便+省事)...
病毒分析教程第五--动态调试分析(中)
安全杂货铺
09-18 503
动态调试分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。 PS:由于动态调试分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 9-1 本节实验使用样...
病毒分析教程第一--静态特征分析
安全杂货铺
06-21 4583
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
计算机病毒分析在线作业参考答案 本资源为《计算机病毒分析》在线作业-2 参考答案,涵盖计算机病毒、木马、恶意代码、逆向工程、调试技术等多方面的知识点。 1. SSDT 钩挂的方法有遍历 SSDT 表、使用查杀病毒的...
交大-计算机第一次作业.doc
12-06
通过对交大-计算机第一次作业的分析,我们可以总结出以下计算机基础知识点: 1. 计算机系统:计算机系统包括硬件系统和软件系统两个方面。硬件系统由运算器、存储器、输入设备、输出设备和控制器组成。软件系统包括...
BAT批处理脚本-病毒专杀工具包.zip
最新发布
12-22
1. **扫描病毒**:使用`FINDSTR`命令检查文件中是否存在病毒相关的字符串,或者配合第三方杀毒软件的命令行接口进行扫描。 2. **隔离或删除病毒**:`DEL`命令可以删除已确认为病毒的文件,而`MOVE`命令可以将可疑...
BAT批处理脚本-清除Marker.BR病毒.zip
12-22
6. **权限管理**:为了彻底清除病毒,批处理脚本可能需要以管理员权限运行,因为某些系统文件或受保护的位置可能需要高级权限才能修改。 7. **自动运行**:批处理脚本可以设置为系统启动时自动运行,以便定期检查和...
大学计算机应用基础教程(Windows10-MSOffice2016)-第1章-计算机基础.pptx
06-02
1.1.1 计算机的发展 大学计算机应用基础教程(Windows10-MSOffice2016)-第1章-计算机基础全文共104页,当前为第6页。 1.1.1 计算机的发展 第一代电子管计算机 主要元器件是电子管,主存储器采用磁鼓、磁芯,辅助...
学习信息安全的必看书籍 30本
01-19
学习信息安全的入门必看30本图书!从协议工具 到 恶意代码的分析以及操作系统的基本认识
病毒分析教程第六--高级病毒分析(中)
安全杂货铺
12-10 831
高级病毒分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
病毒分析教程第六--高级病毒分析(上)
安全杂货铺
11-23 673
病毒分析教程第五–动态调试分析(下)
计算机病毒分析流程图,电脑病毒分析-熊猫烧香病毒分析.pdf
weixin_34552424的博客
07-20 648
编程,语言,java,web,程序,软件,C++,C#,互联网,网络,安全,电脑,病毒熊猫病毒分析及解决方案C变种版本【工 具】:Olydbg1.1、IDA5.0【任 务】:病毒分析以及解决方案【操作平台】:Windows2003server【作 者】:LoveBoom[DFCG][FCG][CUG]【链 接】:N/A【简要说明】:"离开党和人民一年"、荒废了一年,2006年可所谓沉迷于游...
记一次带有FSG壳的熊猫烧香病毒分析过程
richard1230的博客
04-02 5714
样本概况 样本信息 测试环境以及工具 分析目标 具体行为分析 0利用查壳工具查看 1.利用PChunter 2.手工清理 3.利用火绒剑进行主要行为分析 恶意行为的一个简要小结 4.脱壳 病毒恶意行为分析(OD结合IDA双剑合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2 知识点扩展3 知识点扩展4(编辑函数标签:) 知识点扩展5(有关seh链的:) 知识点扩展6(Del...
病毒分析基础
Starr
12-18 652
文章目录病毒分析工具动态分析静态分析病毒的行为注意事项挖掘的方法web挖掘本地系统挖掘提取方式 病毒分析工具 PEid 侦察程序信息工具 SystemSafety Monitor(SSM) 系统监控软件 FileMon 文件监控 RegMon 注册表监控 TcpView网络连接监控 Smsniff 网络数据监控 WireShark 网络数据采集分析 OllyDb...
病毒分析中的一点小结
richard1230的博客
03-03 724
病毒分析中的一些小结(病毒行为分析) (样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7 发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!...
菜鸟之路---2,简单的勒索病毒分析
u012871930的博客
02-27 2078
样本链接:https://pan.baidu.com/s/1mje8FMw 密码:wzxv1.样本概况1.1 样本信息MD5值:MD5: DBD5BEDE15DE51F6E5718B2CA470FC3FSHA1:863F5956863D793298D92610377B705F85FA42B5CRC32: 1386DD7A病毒行为:自我复制,文件加密,释放文件。1.2 测试环境及工具测试环境:Win...
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
2022年办公自动化实用教程自测题汇编.docx
04-14
"2022年办公自动化实用教程自测题汇编" 这份文档是一个针对办公自动化的自测题库,主要涵盖了一些常见的办公软件使用技能,包括钉钉、Excel、PowerPoint以及基本的计算机操作和病毒防护知识。以下是详细的知识点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值