恶意代码分析-第三章-动态基础分析

最新推荐文章于 2024-05-13 20:19:25 发布
最新推荐文章于 2024-05-13 20:19:25 发布
阅读量1.1k 收藏
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809075/article/details/81254008
版权

运行恶意代码

       使用沙箱:用作初始诊断:自动执行与分析

  •  缺点

             只能简单执行,无法输入控制指令。

             不能记录所有事件,只报告基本功能。

             沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。

       运行代码(.dll):

              rundll32.exe程序

              所有的Windows中包含的程序,提供了运行dll的平台。

              C:\rundll32.exe DLL name, Export arguments

                    - Export值必须是一个DLL文件导出函数表中的函数名或者序号。

              导出函数:Install 直接加在后面就可以

                                ServiceMain 需要手动安装服务 net start ServiceName

             因为恶意的DLL文件通常在DLLMain(DLL入口点)执行他们的代码,因为无论什么时候被加 载,DLLMain函数总会被执行,所以就可以通过rundll32.exe来加载DLL,动态的获取信息。

              修改PE头部和扩展名

                     使得Windows以一种可执行文件的方式加载DLL。

                    从IMAGE_FILE_HEADER的特征域中擦除IMAGE_FILE_DLL(0x2000)标记

进程监视

Process Monitor:Windows下的高级监视工具,提供监控注册表、文件系统、网络、线程、进程和线程行为。

Process Explore:列出所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。杀死一个进程、退出用户登录、启动或激活进程。

颜色高亮标记含义

    • 服务:粉色
    • 进程:蓝色
    • 新进程:绿色(临时)
    • 被终止进程:红色(临时)
  • Image标签:显示磁盘上可执行程序的路径

                  verify:验证磁盘上的签名认证。

  • Threads标签:显示活跃的程序。
  • TCP/IP标签:活跃的连接和进程监听的端口。
  • Strings标签:可用于识别进程替换。

Regshot比较注册表快照

使用快照A记录第一次主次表内容,变化后再用快照B记录第二次注册表内容

模拟网络

网络环境配置

https://www.52pojie.cn/thread-330528-1-1.html

https://www.cnblogs.com/hyq20135317/p/5427509.html

 

lab_3.1

 

每昔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战Lab3
weixin_47038938的博客
04-10 1298
第三章动态分析基础技术恶意代码分析实战Lab3-1Lab3-21.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 1.操作场景:VMware workstation 15.5 + Windows7 VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519 2.实验工具: ProcessExplorer:https://d
恶意代码分析实战》课后题第三章
weixin_43988404的博客
03-20 359
Lab 3-1 1、首先静态分析,使用PEid分析,加壳 目前还不会PEncrypt的脱壳,后续再补充(网上资料PEnrypt 3.1 Final的OEP在401528处,以后验证) 因为加壳了,所以显示的导入表和函数不多 。 使用strings进行查看 出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 416
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战 --- 第三章 动态分析基础技术
abelxu
05-16 780
Lab 3-1 1.找出恶意代码的导入函数与字符串列表 导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名 2.这个恶意代码在主机上的感染迹象特征是什么? 3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么? 提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络) 写了一个文件到C:\WINDOWS\System32\vmx32to6
恶意代码分析实战 2 动态分析基础技术
农夫果园好好喝的博客
01-24 1811
使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。问题ws2_32cks=uadvapi32ntdlluser32StubPathadminWinVMX32-AppData网址是需要注意的,注册表的这个目录也需要注意,CurrentVersion经常用于恶意软件的自启动。拖入PEiD,查看一下是否有壳。由于加了壳,只能看到一个函数表。
恶意代码动态分析
qq_41821067的博客
02-23 2004
目录实验一问题实验环境实验思路实验过程实验二问题实验环境实验思路实验过程实验三问题实验环境思路实验过程实验四问题实验环境实验思路实验过程 实验一 使用动态分析技术来分析lab03-01.exe文件中发现的恶意代码 问题 找出这个恶意代码的导入函数和字符串列表 找出代码在主机上的感染特征 创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。 找出是否存在一些有用的网络特征码,如果存在,它们是什么? 不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
恶意代码实战分析-第一章:静态分析基础
足球先生的专栏
04-26 2512
静态分析值的是通过分析程序指令与结构来确定功能的过程。从可执行文件提取有用的消息有多种方法: 使用反病毒软件来确定程序样本的恶意性; 使用哈希来识别恶意代码; 从文件的字符串列表,函数和头文件信息中发掘有用信息。 1.拿多个反病毒软件扫描这个文件,查看是否有哪个引擎已经能够识别它。网站http://www.virustotal.com 允许上传一个文件,来生成一个扫描结果。 2.哈希值:恶意代码的指
第5章 IP包流量分析程序
06-10
- Pcap-tools:包括tcpdump和libpcap,是许多流量分析工具的基础库。 7. **注意事项**: 在进行IP包流量分析时,需遵守当地法律法规,尊重用户隐私,避免非法监听或侵犯他人的网络权益。 通过深入学习和运用IP包...
Java 第1章 了解java含源代码
11-08
- **安全性**:Java具有内置的安全特性,如类加载器和安全管理器,用于防止恶意代码执行。 - **健壮性**:强类型检查、异常处理和严格的数据类型转换有助于创建稳定的程序。 - **可移植性**:Java源代码是独立于...
软件安全1-5章课件.zip
09-26
第三章,典型软件漏洞分析,以实例讲解了常见的软件漏洞类型,如缓冲区溢出、SQL注入、跨站脚本(XSS)等。这些漏洞常常被黑客利用,进行非法活动。通过案例分析,学习者可以理解漏洞的成因、危害以及防范措施。 第四...
软件测试PPT课件(1-8章)
11-03
第三章:黑盒测试与白盒测试 黑盒测试关注软件功能,不考虑内部结构,主要通过输入和预期输出来验证软件行为是否正确。白盒测试,又称为结构测试,侧重于代码层面,检查程序逻辑路径是否都能按预期执行。这两种测试...
教材电子版(1-5章).rar
09-16
此外,确保文件来源可靠,避免下载未经验证的第三方资源。 6. 文件管理:解压后的文件应有序存放,可以按照章节或主题创建文件夹,方便日后查找和复习。对于重要的电子教材,建议备份到云端或外部存储设备,以防...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1719
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8852
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意代码检测理论(静态与动态分析基础)
H4ppyD0g的博客
11-03 9139
什么是恶意代码 恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。 恶意代码类型 1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码 2、后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。 3、僵尸网络:...
如何利用基于云的沙箱来分析恶意软件?
weixin_34348805的博客
08-01 375
对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。 有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。 为了加强端点安全...
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1066
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
恶意代码分析实战》--第三章动态基础分析
I have a dream
09-13 402
一、虚拟网络环境配置 配置环境:服务器端kali2.0 客户端win7 1、配置inetsim kali自带inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置链接:http://www.cnblogs.com/hyq20135317/p/5515675.html 2、安装ApateDNS 一开始在x...
恶意代码分析技术
weixin_30401605的博客
11-18 673
1、恶意代码分析技术 恶意代码分析有两类方法:静态分析动态分析。静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术。 1)、静态分析技术基础技术 静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你...
《Android应用程序代码保护与反保护》本科毕业论文一万字.doc
10-23
第三章则讨论了Android应用程序的反保护技术,包括反编译与反混淆技术、动态分析与脱壳技术。第四章围绕着实验设计展开,包括实验目的与设计、实验环境与工具、实验步骤与结果分析。第五章对Android应用程序代码保护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值