恶意代码分析实战Lab1-2

已于 2022-04-10 14:19:20 修改
阅读量552 收藏 1
点赞数 1
分类专栏: 恶意程序实战分析 文章标签: 恶意代码实战分析
于 2022-04-10 14:14:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58138734/article/details/124075861
版权

Lab1-2

分析Lab1.2.exe文件

目录

Lab1-2

2. 是否有这个文件被加壳或混淆的任何迹象?

3. 有没有任何导入函数能够暗示出这个程序的功能?

4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?

2. 是否有这个文件被加壳或混淆的任何迹象?

利用PEID进行查看

普通扫描如下:

普通扫描没有发现加壳

核心扫描如下:

核心扫描发现upx加壳

发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。

或者进行upx自动脱壳

dos命令

 图形窗口

3. 有没有任何导入函数能够暗示出这个程序的功能?

利用studyPe进行查看脱壳后的upLad01-02.exe

有对互斥体进行操作的函数OpenMutexA、CreateMutexA函数;

有创建服务相关函数:CreateServiceA、StartServiceCtrlDispatcherA、OpenSCManagerA。

打开链接函数InternetOpenA和InternetOpenUrlA;

 4. 哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?

使用IDA进行分析upLad01-02.exe,Strings窗口中可以发现这个恶意代码的网络迹象。

 一个Malservice服务名称(邮寄服务),一个链接,一个浏览器类型。

可以通过监视网络流量检查被恶意代码感染的主机。

王陈锋
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
恶意代码分析用基本工具
01-10
包括有PEview、procexp、strings.exe、Tcpview.exe、WinMD5.exe、Dbgview.exe、PEID、Resoure_Hacker、DEPENDS.exe等工具,无需安装,直接使用
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 672
一、实验内容 1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1327
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4293
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析实战第一章习题实验
Amire0x的小乐园
11-03 1033
Lab 01-01 对Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是什么时候编译的? 使用PEtools打开文件,点击文件头可看到,其他同理。 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 使用PEID打开文件,注意红框内的东西,这里表示该程序是
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1382
Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 616
Lab1-4 目录 Lab1-4 2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 3.这个文件是什么时候被编译的? ​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战 Lab 1-2 习题笔记
isinstance的博客
08-25 2800
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?解答: 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请进行脱壳,如果可能的话。解答: 因为这个我是看过一遍书才来看这些题目的,所以,可能刚开始看这本书的同学会有些不理解,没事,慢
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1170
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1131
恶意代码实战分析
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战
03-07
恶意代码分析实战
恶意代码分析实战》课件
06-24
恶意代码分析实战》是2014年4月电子工业出版社出版的图书,作者是Michael Sikorski / Andrew Honig
恶意代码分析实战.part1
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王陈锋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值