恶意代码分析实战 1.10实验

最新推荐文章于 2024-08-15 09:23:50 发布
最新推荐文章于 2024-08-15 09:23:50 发布
阅读量173 收藏
点赞数
分类专栏: 恶意代码分析实战 汇编语言 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46377671/article/details/118654579
版权

Lab 1-1

1:

lab 1-1.exe:
在这里插入图片描述
lab 1-1.dll:
在这里插入图片描述

2:

lab 1-1.exe:
在这里插入图片描述
lab 1-1.dll:
在这里插入图片描述

3:

lab 1-1.exe:在这里插入图片描述
lab 1-1.dll:
在这里插入图片描述

4:

进行了文件、互斥量相关的操作。
在这里插入图片描述
在这里插入图片描述

5:

能够看到文件方面的操作,可以看到kernel32.dll和kerne132.dll,字符串“WARNING_THIS_WILL_DESTROY_YOUR_MACHINE”
在这里插入图片描述

6:

可以看到一个ip:127.26.152.13
在这里插入图片描述
在这里插入图片描述

7:

复制文件到system32下并改名为kerne132.dll,并于目的ip进行通信,再执行sleep等指令。

Lab 1-2

1:

在这里插入图片描述

2:

深度扫描后,使用upx -d 文件名进行脱壳
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3:

关键字:互斥量,线程,定时器,创建服务,网络连接
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4:

主机特征:字符串“MalService”(在此章不明显,在后续章节分析可以得知是创建的服务名字)
网络特征:url和ie浏览器
在这里插入图片描述

Lab 1-3

1:

在这里插入图片描述

2:

使用工具linuxUnpacker进行脱壳,脱壳后默认为unpacked.exe
在这里插入图片描述
在这里插入图片描述

3:

使用了com对象模型(通过修改com对象的接口标识符和类标识符可以给予com对象不同的功能,从而达到恶意者的目的)
在这里插入图片描述

4:

网络特征:图片中的url
在这里插入图片描述

Lab 1-4

1:

在这里插入图片描述

2:

未加壳
在这里插入图片描述

3:

### 三级标题

4:

关键字:提权,文件,资源操作
在这里插入图片描述
在这里插入图片描述

5:

主机:可能进行文件的下载替换类动作
网络:url
在这里插入图片描述
在这里插入图片描述

6:

使用reshacker保存资源文件后,进行分析
关键字:获取系统目录,winexec执行程序,开启后门下载
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

cat&seven
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1484
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战(二)
weixin_45870307的博客
12-05 931
恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 语法为 rundll32.exe DLLNAME,EXPORT ARGUMENTS EXPORT为dll中的函数名或序号. 3.进程监视器 使用process monitor 监控注册表,文件,网络,进程行为 4.使用进程浏览器来查看进程 使用process explorer 可以查看进程
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1569
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3493
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1210
恶意代码实战分析
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2587
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1188
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
网络封包分析1.10.rar
12-30
7. **安全监控**:在网络安全领域,封包分析可以帮助检测潜在的入侵、攻击或恶意活动。 8. **数据导出**:分析结果通常可以保存为文件,便于进一步的分析或与其他工具进行集成。 网络封包分析器的使用通常涉及网络...
LED代码查询V1.10A 自定义编码
08-22
LED代码查询V1.10A 自定义编码 LED代码查询V1.10A 自定义编码
achartengine-1.10 源代码
01-22
这个"achartengine-1.10 源代码"提供了该库的完整源码,使得开发者能够深入理解其内部工作原理,并可以根据自身需求进行定制化开发。 AChartEngine库的核心功能包括: 1. **多样化图表类型**:支持多种图表类型,...
1.10静态综合实验.zip
01-11
实验1.10静态综合实验”旨在深入理解和实践静态路由的配置与管理。在这个压缩包文件中,可能包含了一系列关于静态路由的教程、实验指导、配置示例或练习,以帮助学习者掌握这一核心技术。 静态路由是指网络管理...
Harbor开放源代码注册中心 v1.10.17.zip
03-21
Harbor开放源代码注册中心 v1.10.17.zip
恶意代码分析实战Lab1503
ACdream
07-11 248
CreateToolHelp32Snapshot:可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。说到底,可以获取系统中正在运行的进程信息,线程信息等Thread32First,Thread32Next:用来遍历每一个线程Module32First,Module32Next:BOOL Module32First( HANDLE ...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3558
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1733
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1138
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战
iteye_15786的博客
05-28 241
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代...
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1238
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
等保测评中的安全需求分析:构建精准的信息安全防护体系
最新发布
w13359990065的博客
08-15 515
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值