网络安全知识分享

远程木马创建傀儡进程分析一、实验目的该样本具有一定的免杀性，分析该样本都用了什么技术，能达到免杀效果，所以本次实验目的如下：（1）分析该样本运行流程（2）提取该样本的关键技术，研究免杀原理。二、实验描述分析样本，MD5是997CF4517EE348EA771FD05F489C07FE，分析该样本的运行流程，我们需要调试傀儡进程，修复dump出来的傀儡进程，手工脱UPX壳，修复导入表。三、实验目标先将样本放到火绒剑里运行一下，了解样本A大概执行流程dump出的傀儡进程为B程序，修复后

恶意代码种类以及分析环境介绍1、使用010Editor分析html样本2、使用PETool.exe 分析感染式样本3、使用jd-gui.exe 分析一个蠕虫样本的jar包1、使用010Editor分析html样本1、使用010Editor分析html样本对PE文件进行结构解析将文件数据拷贝粘贴出来用对应形式对比文件差异性向文件插入数据（2）将样本拖拽到分析工具010Editor.exe中,查看源码形式，找到感染代码可以将此部分代码以16进制形式拷贝出来（4）新建一个16进制文件

WinDBG实战教学（1）一、初始任务二、开始分析三、分析代码四、WinDBG调试这里的实例选自《恶意代码分析与实战》第十章实验一大家可以在这里下载哦点击下载—提取码：8189 实验工具：1、WinDBG2、IDA3、Dependency Walker一、初始任务我们将下载好的文件放到指定位置C:\Windows\System32使用WinGDB 连接至虚拟机（CSDN中有很多关于WinDBG的初始教学，大家可以先看看）出现下面的界面表示连接成功：二、开始分析第一步，我们使用D

熊猫烧香病毒机理分析（1）自启动方式熊猫烧香病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项这种方式也是绝大部分病毒自启动所采用的方式。拷贝自身到所有驱动器根目录（盘符），命名为Setup.exe，在驱动器根目录生成autorun.inf文件，并把它设置为隐藏、只读、系统autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件，即运行Setup.exe。(2)传播方式a、感染可执行文件熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .

熊猫烧香（下）病毒释放过程1、loc_4081712、sub_403F8C子函数3、sub_4060D4子函数4、CopyFile和WinExe子函数1、loc_408171第一步 打开IDA Pro和OD载入病毒样本打开OD转到00408171 按下F2增加断点，运行到这个地方思考：OD重新打开断点为什么还保留着？在OllyDbg中，它会把所有与程序后模块相关的信息保存在单独的文件中，以便在模块重新加载时继续使用。这些信息包括标签、注释、断点、监视、分析数据、条件等。第二步，在OD中

熊猫烧香病毒分析（第一篇）一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结熊猫烧香样本下载提取码：8189一、病毒初始化1、工具准备 IDA、OD、PEID2、基本流程：利用查壳工具检查病毒是否带壳利用OD动态分析病毒利用IDA

熊猫烧香（中）病毒释放机理1、sub_40277C子函数2、sub_405684子函数3、sub_403ED4子函数4、sub_4057A4子函数5.分析sub_4057A4后续删除功能6.sub_4078E0子函数7.sub_403C44子函数8.sub_403ECC子函数9.总结1、sub_40277C子函数第一步打开IDA pro加载我们的病毒样本第二步，定位到loc_40CBE6的位置这里我们看到了3个函数，这3个call是熊猫烧香病毒最重要的功能第三步，查看cub_408024nei