恶意代码分析实战Lab3-2

已于 2022-04-11 21:29:29 修改
阅读量1.5k 收藏 9
点赞数 2
分类专栏: 恶意程序实战分析 文章标签: 恶意代码实战分析
于 2022-04-11 21:27:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58138734/article/details/124092464
版权

Lab3-2

使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。

目录

Lab3-2

1.你怎样才能让这个恶意代码自行安装?

2.安装之后如何让恶意代码运行起来?

3.怎么可以找到这个恶意代码在哪个进程下运行的?

4.你可以在procmon中设置什么样的过滤器,才能收集到这个恶意代码的信息?

5.这个恶意代码在主机上的感染迹象特征是什么?

6.此恶意代码是否存在一些有用的网络特征码?

1.你怎样才能让这个恶意代码自行安装?

对于这个程序来说题目要求是动态分析,但在这里,可以先进行静态的

我对文件进行pe分析的时候发现一些很熟悉的dll动态链接库,恶意程序的老伙伴了。

 这个恶意程序肯定跟网络有关。

然后我对导入表进行分析,查看里面的函数

我发现程序会创建进程和线程。

我发现程序还会创建服务,操控服务,操作注册表。

 

程序对网络进行操作。

接着对导出表分析,发现下面5个导出函数

然后就是查看其中的字符串信息了

发现了网址

 还有一些程序

猜测这个程序是恶意程序自主运行的 

里面还有一些下载文件的、运行程序的

还有之前看到的导出函数

注册表操作

  

Windows系统中的rundll32.exe专用于运行dll程序,就先用导出函数中的installA来尝试安装程序,

rundll32.exe Lab03-02.dll,installA

 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件

2.安装之后如何让恶意代码运行起来?

这里就需要用到regshot的快照对比了,这里害的我返回快照文件,但发现这个虚拟机根本没有快照文件,我只能先删除上面安装的dll文件,但经过分析,根本没有删干净,这会让判断失误,于是就进行系统重装再来。

先进行快照全部注册表,再进行安装Lab03-02.dll。

这个是快照比较报告,很容易看出有什么不同,淦,怪不得我没删干净,东西很多啊。

 里面会有很多的新添键,就不一一截图了。

 这里有个IPRIP服务。

这个是运行程序的关键点。

程序会动态链接这个恶意代码dll。

windows启动服务

net start IPRIP启动程序

3.怎么可以找到这个恶意代码在哪个进程下运行的?

打开process explore,在里面查找Lab03-02.dll,发现是svchost.exe运行的。

从网上下的有些软件,令人头大,居然有些功能不能用,居然还是最经常用的查找功能,真是令人,令人再去找其他软件。 

 

 4.你可以在procmon中设置什么样的过滤器,才能收集到这个恶意代码的信息?

刚开启软件,就发现一大堆的注册表的操作

 可以利用上面找到svchost的PID1028,来做过滤条件。

 已经猜到了一堆注册表操作

5.这个恶意代码在主机上的感染迹象特征是什么?

感染迹象创建IPRIP服务

6.此恶意代码是否存在一些有用的网络特征码?

使用了pc hunter查看了网络情况,发现了1028的端口的网络迹象。

还可以用一些DNS访问记录工具查看,目前这些工具,我还没配齐,等后面会进行补充。 

恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 1041
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 300
恶意代码实战详细分析
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4372
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
恶意代码分析实战3-2
qq_51459600的博客
09-07 133
恶意代码分析实战3-2 问题1 Windows系统中在rundll32目录下执行如下命令: 用regshot比较安装前后的注册表 代码会在svchost进程中启动 问题2 执行命令如下,已经成功运行 问题3 通过查找Lab03-02.dll查找该程序 发现是在svchost进程下运行的 问题4 我们可以在Process Explorer中查看该进程的PID,我们可以通过PID过滤 问题5 该程序执行时会在系统中写入如下文件 除此之外,通过如下信息发现该程序将自己写在注册表的键值里面
恶意代码分析实战Lab0302
ACdream
01-29 321
同样先查壳 然后查看字符串 接下来使用IDA进行分析,因为是未加壳的代码,程序功能可以很轻松的通过程序逻辑以及调用的API函数来分析 10003415函数块分析 看到这些关键函数就知道了功能的 首先,InternetOpen,InternetConnect是使用HTTP协议进行互联网的访问操作 HttpOpenRequest,HttpSendRequest是
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 3198
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 763
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战Lab 5-1
m0_37442062的博客
05-05 879
1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了) .text:1000D02E 2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址? .idata:100163CC 3.有多少函数调用了gethostbyname? Jump to xref operand 函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。 4.将精力集中在位于0x10001757处的对gethostbyname的
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 467
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战-行为监控
weixin_30520015的博客
01-11 348
进程监视器 ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。 通过Filter-Filter打开过滤菜单,过滤文件行为 查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。 进程浏览器 Process Explorer(进程浏览...
恶意代码分析实战Lab03——2.dll、3.exe
4SecNet团队专栏
12-24 362
第一步:查看基本信息: 第二步:该程序是DLL,看导出函数: 可以看出,该程序的导出函数有很大的参考意义,基本上已经告诉我们每个导出函数的作用 , ...
Lab 3-2
bangren3304的博客
01-08 269
Analyze the malware found in the file Lab03-02.dll using basic dynamic analysis tools. Questions and Short Answers How can you get this malware to install itself? A: To install the malware as a ...
Lab 3
weixin_30614587的博客
04-19 119
虚拟机联网:https://blog.csdn.net/apple9005/article/details/69569532 sysstat 工具包包含多种工具: - iostat 提供CPU使用率以及硬盘吞吐效率的相关数据 - pidstat 运行中的进程/任务、CPU、内存等统计信息 通过 yum install -y sysstat 安装 IO状况:iost...
恶意代码分析实战Lab0304
ACdream
02-04 717
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
2020春软件构造Lab3-2实验报告
shadowedstar的博客
05-10 1175
目录 1 实验目标概述 1 2 实验环境配置 1 3 实验过程 1 3.1 待开发的三个应用场景 1 3.2 面向可复用性和可维护性的设计:PlanningEntry 1 3.2.1 PlanningEntry的共性操作 1 3.2.2 局部共性特征的设计方案 2 3.2.3 面向各应用的PlanningEntry子类型设计(个性化特征的设计方案) 2 3.3 面向复用的设计:R 2 3.4 面向复用的设计:Location 2 3.5 面向复用的设计:Timeslot 2 3.6 面向复用的设计:Entr
恶意代码分析实战Lab1302
ACdream
06-10 285
main -> 1851 -> 1070,181F,1000碰到了好多不认识的WINAPI函数GetSystemMetrics:该函数只有一个参数,称之为「索引」,这个索引有75个ID,通过设置不同的标识符就可以获取系统分辨率、显示区域的宽度和高度、滚动条的宽度和高度等。来自MSDN~~~获取屏幕的宽度和高度GetDesktopWindow:该函数返回桌面窗口的句柄。桌面窗口覆盖整个屏...
恶意代码检测实战-第三章实验二(Lab03-02.dll)
qq_43481350的博客
09-01 847
实验环境: 实验设备环境:windows XP 实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot. 实验思路 1、静态分析dll中的特征信息 2、安装dll中的恶意代码 3、监控并分析恶意程序的特征 实验过程 首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下: 我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能
xss-lab 通关实战
最新发布
01-02
### 富文本XSS漏洞的实战解决方案 #### 了解富文本XSS漏洞的本质 富文本XSS漏洞是Web应用程序中最难防御的一类跨站脚本攻击形式之一。当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码来执行各种有害操作[^1]。 #### 防御策略概述 为了有效应对这种类型的威胁,采用白名单过滤机制成为不可或缺的选择。该方法只允许特定的安全标签及其属性通过,从而阻止任何潜在危险的内容进入系统。此外,遵循安全开发生命周期中的最佳实践对于构建稳固防线至关重要。 #### 实施具体措施 - **输入验证**:确保所有来自用户的HTML输入都经过严格的语法和结构检查。 - **编码输出**:在显示之前对特殊字符进行转义处理,防止它们被浏览器解释成可执行代码片段。 - **使用库工具**:借助成熟的第三方组件如DOMPurify可以帮助简化这一过程并提高效率。 - **定期测试**:持续开展渗透测试活动以发现新的风险点,并及时调整防护手段。 ```javascript // 使用 DOMPurify 净化 HTML 输入示例 const dirtyHtml = &#39;<img src="x" onerror="alert(1)">&#39;; // 假设这是未经净化的数据 const cleanHtml = DOMPurify.sanitize(dirtyHtml); console.log(cleanHtml); // 输出:<img src="x"> ``` #### 参考案例研究 Mall4J是一个实际运用了上述原则的成功范例。该项目不仅实现了前后端分离架构下的全面功能支持,还特别加强了针对XSS攻击的有效预防措施,在源码层面提供了良好的示范作用[^2]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王陈锋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值