恶意代码分析实战——Lab03-03.exe基础动态分析篇

最新推荐文章于 2024-07-10 08:51:49 发布
最新推荐文章于 2024-07-10 08:51:49 发布
阅读量1.7k 收藏 14
点赞数 8
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46687377/article/details/121116832
版权

恶意代码分析实战——Lab03-03.exe基础动态分析篇

一、实验目的

综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能

二、实验环境

winxp虚拟机
kali虚拟机

三、实验过程

(一)静态分析

1、MD5值

在这里插入图片描述

2、peid分析

在这里插入图片描述
peid显示它并没有加壳,但是用strings查看可打印字符串时,没有发现任何有用的信息,只是一些乱码。
在这里插入图片描述

3、PEview分析

将它拖到peview中查看,发现各节头表的虚拟内存大小均小于原始内存大小,好吧,所以确定Lab03-03.exe确实没有加壳,但是在它的导入函数列表中发现了GetProcAddress和LoadLibrary两个函数,这两个函数可以允许程序访问系统中任何库内的任何函数,是一个程序被加壳或混淆时通常存在的函数,所以该程序可能使用了一些其它的混淆技术吧。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后我们再次查看它的导入函数列表,发现了许多与文件和进程相关操作的函数
在这里插入图片描述

在这里插入图片描述
所以猜测Lab03-03.exe是对内存中的某些文件进行创建修改删除等恶意操作

(二)动态分析

在程序运行前我们先分别打开Process Explorer,Process Monitor以及ApateDNS虚拟网络配置

1、Regshot注册表分析

在这里插入图片描述
注册表并没有提供有用的信息,该程序并没有对注册表做出明显的修改

2、ApateDNS

在这里插入图片描述
ApateDNS也并没有捕获到明显的网络特征,只是在程序执行1分钟后进行了APR请求。

3、Process Explorer分析

在这里插入图片描述
发现在执行Lab03-03.exe后,其自动结束进程并留下了一个svchost.exe子程序,并且发现每运行一下Lab03-03.exe都会留下一个“孤儿"程序svchost.exe,我们双击这个孤儿进程svchost.exe,点击strings分别查看它磁盘映像和内存映像的字符串列表
在这里插入图片描述
在这里插入图片描述
发现它内存映像的字符串列表明显和磁盘映像的字符串列表不一样,说明对内存中的svchost做出了修改,并且下滑后发现一个practicalmalwareanalysis.log文件以及[SHIFT],[ENTER]等与键盘输入相关的字符,所以可以猜测他是一个击键记录器。

在这里插入图片描述

4、Process Monitor分析

为了证明我们的猜测,我们打开一个记事本,随便输入一些信息,查看是否对键盘操作进行了记录。
在Monitor中对孤儿进程svchost(3712)进行过滤,之后点击ctrl+x将原有的捕获到的进程清除掉,然后新建一个记事本随便写入一些信息。
在这里插入图片描述
正如猜测的一样,svchost正在创建和写入一个名为practicalmalwareanalysis.log的文件,而这个文件就在Lab03-03.exe的同目录下
在这里插入图片描述
我们打开practicalmalwareanalysis.log文件,发现里面记录的就是我们刚刚的操作。

在这里插入图片描述

四、实验结论

Lab03-03.exe对svchost.exe执行了进程体会,来启动一个击键记录器,将所记录的内容存放在同目录下的practicalmalwareanalysis.log文件中。

妙蛙种子吃了都会妙妙妙的妙脆角
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
恶意代码Lab03-3分析实验
雩停
03-10 1272
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1393
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
apatedns工具
12-05
apatedns用来查看恶意代码发出DNS请求最快捷的方式
Lab03-03.exe恶意代码分析
weixin_51758733的博客
05-17 183
Lab03-03.exe恶意代码分析
从入门到入土:恶意代码Lab03-03.exe|分析实验|运行截图|问题回答|
Q_U_A_R_T_E_R的博客
11-02 838
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 恶意代码一、概述问题1:当你使用Process Explorer工具进行监视时,你注意到了什么?问题2:你可以找出任何的内存修改行为吗?问题3:这个恶意代码在主机上的感染迹象特征是什么?问题4:这个恶意代码的目的是什么?二、行为预览三、清理方式 一、概述 题目: 在一个安全的环境
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境
妙蛙种子吃了都会妙妙秒的妙脆角的博客
10-13 5815
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境 注:本次实验主要是《恶意代码分析实战》一书中进入动态恶意代码分析章的开始,主要通过Apatedns以及Inetsim来模拟为恶意代码提供其需要的网络环境,本次实验以Lab01-03.exe为例。 一、实验环境及工具。 Vmware虚拟机:win10(win7)、kali 主要工具:Apatedns、Inetsim 二、工具的安装下载 1、Apatedns:需安装至windows虚拟机客户端(win10,win7均可) 下载地址:http
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1130
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
apateDNS.exe(需要net framework2.0环境)
04-25
解压即用,需要net framework 2.0以上的环境;XP需要安装net framework2.0,win7不需要再进行安装
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
Python库 | jupyterlab-0.24.0-py2.py3-none-any.whl
02-16
`jupyterlab` 是一个强大的交互式计算环境,它是Jupyter项目的一部分,旨在提供一种现代化的工作流程,让数据科学家、研究人员和开发者能够进行数据分析、代码编写以及文档编写等活动。`jupyterlab-0.24.0-py2.py3-...
恶意代码分析-使用apataDNS+inetsim模拟网络环境
bangren3304的博客
09-20 1990
准备工作 虚拟机安装: Win7 Ubuntu apateDNS 密码:wplo inetsim 密码:ghla 客户端Win7需要做的工作 安装apateDNS 服务器端Ubuntu需要做的工作 下载inetsim,解压后将文件夹拷贝到Ubuntu系统。在 inetsim-1.2.5/cnf 下,将原本的配置文件 inetsim.conf 重名为任意不同于此的文件名(使其失效)。创建新...
恶意代码分析实战3-34
Yale的博客
09-19 387
本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题 Q1使用process explorer工具进行监视时,注意到了什么 Q2可以找出任何的内存修改行为吗 Q3恶意代码在主机上的感染特征是什么 Q4该恶意代码的目的是什么 依次分析。 开启process explorer,然后启动程序lab03-03.exe 此时会发现process explorer一闪而过 ​ 该程序创建了svchost.exe之后,然后自身进程就消失了,将svch
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1328
恶意代码分析实战Lab03-01.exe
动态恶意软件分析工具介绍
myguaicai的博客
11-08 1647
动态恶意软件分析工具介绍 网络安全观察者 在本教程中,我们将介绍动态恶意软件分析工具,用于了解恶意软件执行后的行为。本教程是我们恶意软件分析教程中的第2部分。如果您尚未阅读本系列的第1部分,请先阅读本系列教程1,然后再继续这一。 在本教程中,我们将介绍用于在虚拟机中执行恶意软件后分析活动的动态恶意软件分析工具。我们将分别介绍Procmon,Process Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具来进行恶意软件的分析。动态恶意软件分析
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 595
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

妙蛙种子吃了都会妙妙妙的妙脆角

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值