恶意代码分析实战Lab1-4

最新推荐文章于 2023-04-25 11:07:49 发布
最新推荐文章于 2023-04-25 11:07:49 发布
阅读量619 收藏 3
点赞数
分类专栏: 恶意程序实战分析 文章标签: 恶意代码实战分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58138734/article/details/124078712
版权

Lab1-4

目录

Lab1-4

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。

3.这个文件是什么时候被编译的?

​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?

5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?

6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析

 

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。

利用PEiD发现无壳。

3.这个文件是什么时候被编译的?


4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?

对资源节进行操作:LoadResource、FileResource、SizeofResource

从资源节中加载数据,写一个文件到磁盘上:CreateFile,WriteFile

执行磁盘上的文件:WinExec

将文件写到系统目录:GetWindowsDirectory

获得进程的文件描述符,也是为了操作远程的进程:OpenProcess、GetCurrentProcess

可以运行另一个程序:WinExec

 可以通过令牌的方式确保只运行一个进程在系统中:AdjustTokenPrivileges

可以去查找用户的登录信息等系统敏感信息:LookupPrigilegeValueA


5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?

利用ida来查看

\\system32\\wupdmgr.exe\\winup.exe的程序

psapi.dllsfc_os.dll的动态链接库

 好的,我无法判断了。


6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
依次分析

 

将文件导入进Resource Hacker中

 

 然后将资源保存成二进制文件进行保存,保存成exe文件

 导入进ida再进行分析

 出现了一个网站www.practicalmalwareanalysis.com

 

王陈锋
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4357
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
恶意代码分析实战实验Lab1的1~4题
weixin_42877778的博客
11-05 683
因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。 实验下载 访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给出具体下载方式链接:下载点击步骤 最终也是转到GitHub中下载:GitHub下载链接 第一章实验 Lab1-1 (1)将恶意代码上传到一个网页并分析查看报告。 .
恶意代码分析实战 lab1-4
Yale的博客
02-21 552
q3:文件是什么时候编译的 载入petools 文夹头-》时间、日期标志 可以看到时间。 Q4: 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么 peid载入 可以看到一些dll 比如advapi32.dll 有一些权限、注册表相关的操作 再比如kernel.dll有很多文件相关的操作 q6: ...
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 715
一、实验内容 1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1284
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 535
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加壳操作 利用ollybdg进行手动脱壳 在尝试了一番之后,我发现这个脱完壳后还得进行修复,就搁置在这里。
浅谈恶意代码的研究分析
weixin_68789096的博客
04-25 641
恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑 数据的安全性和完整性的目的。恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用,其中包含了傀儡程序与傀儡网络、Rootkit、社交 工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往,而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济 体。
恶意代码分析实战Lab01——03&04
sxr__nc的博客
12-21 784
第一步:查看文件是否加壳: 加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中: 第二步:将程序,用IDA打开进行详细分析: 第三步:分析main函数; 可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了: 嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3308
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析技术
weixin_68789096的博客
04-25 713
恶意代码分析有两类方法:静态分析和动态分析。静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术。1)、静态分析技术基础技术静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码。2)、动态分析基础技术动态分析基础技术涉及运行恶意代码并观察系统的行为,以移除感染,产生有效的检测特征码,或者两者。
恶意代码分析实战》--第一章:静态分析基础技术
I have a dream
09-13 1939
**请参考大神的链接:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程** 2、用PEtools打开,查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒 4,用dependency walker工具打开 ...
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
abelxu
06-09 585
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
恶意代码分析实验(一)
shannow_123的博客
04-01 1346
记几个简单的恶意代码分析实验 Lab01-02.exe 检验程序是否有壳 发现加了upx壳,我们用工具脱壳 得到文件后将文件拖入IDA反编译 首先查看字符串,发现可疑字符http://www.malwareanalysisbook.com 猜测该网址为恶意网站,该程序的操作为访问该恶意网址 对代码逻辑的详细分析如下: int sub_401040() { SC_HANDLE v0; // es...
C++学习(一零九)Resource Hacker工具介绍
hankern的专栏
07-01 4872
Resource Hacker,非常强大的资源查看器,编译和反编译工具!ResourceHacker 原生免费无广告,主要用于可执行程序的资源编辑器,查看、编译、反编译等。这款小巧的资源编译器和反编译器、资源替换修改工具简单实用,可以打开任意类型的 Windows 可执行文件 (*.exe、*.dll、*.scr、*.mui 等等),可以添加、修改、或删除这些文件内的资源,可以创建和编译资源脚本文件 (*.rc),也可以编辑资源文件 (*.res)。 Resource Hacker 功能特点: 1、查看
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 559
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加壳 核心扫描如下: 核心扫描发现upx加壳 发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱壳 dos命令 图形窗口 ...
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给他们提供解决安全问题的工具和方法。通过学习恶意代码的特征和运行机制,读者可以更好地理解恶意代码的危害和影响,并且能够识别和应对各种恶意代码的攻击。 这本书主要包括以下几个方面的内容:首先,介绍了恶意代码的基本概念和分类。然后,详细介绍了恶意代码分析的基本原理和方法,包括静态分析、动态分析和沙盒分析等。接着,详细介绍了常见的恶意代码攻击技术和攻击手段,包括植入木马、蠕虫、病毒等。最后,介绍了如何应对恶意代码攻击,包括应急响应、入侵检测、修复漏洞等。 本书的特点是理论与实践相结合,通过大量实例和案例分析,读者可以了解实际场景中的恶意代码分析过程。此外,本书还提供了一些实用的工具和技术,帮助读者更好地应对和识别恶意代码的攻击。 总的来说,恶意代码分析实战是一本权威且实用的指南,对于希望了解和应对恶意代码攻击的安全专家和研究人员来说,是一本非常有价值的参考书籍。无论是对于初学者还是有一定经验的专业人士来说,本书都提供了丰富的知识和实践经验,能够帮助他们更好地处理恶意代码攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王陈锋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值