恶意代码实验2

最新推荐文章于 2024-04-15 10:44:14 发布
最新推荐文章于 2024-04-15 10:44:14 发布
阅读量819 收藏 9
点赞数 15
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63943694/article/details/137671078
版权

手工修改二进制文件

1. 使hello25.exe弹出的对话框内容变为自己的学号

  • hello25.exe运行后会弹出两个对话框,如下图:
    在这里插入图片描述
    在这里插入图片描述

  • 思路:显示的内容应该是以字符串的形式存储在临时变量中,临时变量通常存储在.data段,找到节表中.data段,读出在内存中节区的RVA地址(12H,4字节)或者在文件中的偏移量(20H)
    在这里插入图片描述
    结合ImageBase字段值为40000,.data段在内存中的403000位置
    .data字段在文件中的800位置

下面以修改第一个对话框中内容为例:

  1. 找到需要修改内容所在地址
    在这里插入图片描述
  2. 修改数据
  • ollydbg中不能对文件直接进行修改,我们确定好要修改内容的位置后,回到winhex中进行修改

    • ollydbg中确认要修改的数据为5045C8……
      在这里插入图片描述

    • 回到winhex,找到相同的数据并修改
      在这里插入图片描述

      这里可能会遇到有这样的提示:
      在这里插入图片描述
      出现这个问题的同学应该是直接运行了老师发的压缩包里的winhex.exe文件,它没有办法帮你修改文件,要想修改还是得自己装一下。

  1. 另存为文件hello_modified.exe并试运行
    在这里插入图片描述

2. 使其文件中不存在MessageBoxA这一函数名,但仍能正常运行且功能不变

  • 思路:在hello25中MessageBoxA以名字方式调用,若想要达到文件中不存在MessageBoxA这一函数名,但仍能正常运行且功能不变,一是要修改导入表中关于MessageBoxA的引入名字表,二是要修改MessageBoxA的调用方式为以序号方式调用。

2.1 找到导入表中的引入名字表

  1. 找到导入表的桥1,找到其指向的存储地址中的函数名MessageBoxA
    在这里插入图片描述
  2. 回到winhex中,按照偏移量相同的原则找到数据位置并修改(208C对应68C)并修改
    在这里插入图片描述

2.2 修改MessageBoxA的调用方式为以序号方式调用

  1. 将user32.dll导入dependency walker中可以查到MessageBoxA的序号为0x864
    在这里插入图片描述

  2. 找到引入名字表(图中对应402058处,值为208C)
    在这里插入图片描述

  3. 回到winhex中修改,引入名字表在文件中的地址对应为658,修改为0x80000864
    最高位为1:表示函数以序号方式调入
    在这里插入图片描述

  4. 另存为文件hello25_modified2.exe并运行
    在这里插入图片描述

3. 使其只弹出第一或第二个对话框

  • 这里我做的是只弹出第一个对话框
  1. 先打开ollydbg分析一下,可以从反汇编的窗口看到,每调用一次MessageBoxA,就会弹出一次对话框
    EIP+下一条指令地址=所调用函数入口地址
    如图0x00000014+0x0040102C=0x00401040
    当调用ExitProcess程序会退出,时所以我们将EIP中的值修改,使得所调用的函数入口地址变为ExitProcess即可
    0x00000008+0x0040102C=0x00401034
    所以将EIP的值改为0x00000008
    在这里插入图片描述
  2. 回到winhex进行修改
    EIP的地址为401027,对应在文件中的地址为427
    修改前:
    在这里插入图片描述
    修改后:
    在这里插入图片描述
  3. 另存为文件hello25_modified3.exe并运行,只弹出了第一个对话框
    在这里插入图片描述
20212416谢晓宁
关注
exp4恶意代码分析实验报告-20202127
qq_57435798的博客
04-05 2259
本次实验的重点是借用软件工具,通过工具来具体分析恶意代码,通过对后门文件的多方面分析检测,查看是否主机中有可疑对象和可疑行为,这对平时主机的使用和保护都有着重大的实际作用。这个程序对系统的正常运行是非常重要,而且是不能被结束的。这次试验任务量比之前的三次实验大了很多,而且比较侧重于自己分析,通过利用一些专业的分析工具,可以对恶意代码进行静态和动态的分析,这些工具除了wireshark在之前学习使用过,其他工具都是从没有听说过,通过这些工具的使用也让我对恶意代码有了更深的认识。以后还要加强这方面的学习。
网络安全实验恶意代码实验
qq_64314976的博客
06-22 1264
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
《网络攻防》恶意代码分析
2301_76161259的博客
04-25 630
在免杀原理中我们总结出了恶意代码常用的一些障眼法,在上述两个环节中,我们分别使用了比对特征库,以及对其一些设计上的行为功能进行了分析,接下来,我们使用工具PEID对一些加壳的恶意代码进行壳分析。pe exploer除了编辑资源之外,我们可以用其打开该程序的导入表(一般作为可执行文件,都不向外部提供函数,而需要外部提供一些基础函数支持,所以只有导入表,没有导出表)从以上对于导入表的分析我们可以看出,除了正常的函数,内存管理等调用,该可执行文件还有着修改注册表,系统日志的功能,且与外界建立了。
CQU恶意代码分析实验
qq_62535870的博客
03-27 1684
将U盘上的两个分区格式化,分别格式化为FAT32格式和NTFS格式,然后在两个分区分别创建大文件、小文件和文件夹,来观察两种文件系统的存储原理。
UEFIBootkit攻击恶意代码分析
m0_61043657的博客
02-13 658
对于UEFI的攻击,从感染方式和攻击层次上来讲,可以分为两种:一种是针对UEFI固件的攻击,一种是磁盘上引导文件的攻击。本次实验着重介绍第二种。调试和编译指定UEFIBootkit恶意程序,加深对Bootkit攻击技术的理解,掌握对操作系统引导文件感染的方法,实现引导完整性攻击,丰富UEFI固件攻击方式。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
HTML恶意代码实验步骤.pdf
07-11
在界面上选择“HTML 恶意代码实验”,进入其实施面板。 在实验过程中,需要点击“初始化病毒工具”按钮,对其实验所需的工具进行初始化。如果所需的工具被杀毒软件查杀,要再次点击“初始化病毒工具”按钮,对工具...
HTML恶意代码实验原理.pdf
07-11
HTML恶意代码实验原理 HTML恶意代码是指利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序、JavaScript脚本语言程序、ActiveX软件部件网络交互技术支持可自动...
实验恶意代码实验.doc
09-28
实验四:恶意代码攻防实验实验的目标是让学生深入理解恶意代码的工作原理和技术,特别是涉及网络编程、缓冲区溢出攻击、恶意脚本攻击以及网络病毒的基本特性。实验通过编写和调试程序来模拟实际的攻击场景,让...
恶意代码分析实战课后练习题
11-04
2. **静态分析**:学习如何通过反汇编器和十六进制编辑器查看恶意代码的原始二进制形式,识别可疑函数和字符串,以及使用工具进行签名匹配和代码相似性分析。 3. **动态分析**:设置沙箱环境,观察恶意软件在实际...
Windows恶意代码剖析实验
08-01
运用OD(动态分析工具)、IDA(静态分析工具)、PEid(查壳工具)等工具对window恶意代码进行具体分析
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3575
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
20212313 2023-2024-2 《网络与系统攻防技术》实验实验报告
m0_62278802的博客
04-11 794
本次实验相对简单顺利,没有之前那样花费大量的时间来安装环境。但是用到的工具特别特别多,主要是用来分析恶意代码的各种信息,但使用了这么多工具我发现都不如我在恶意代码课上学到的好用,我认为ollydbg和winhex可以充分分析文件的各种信息,包括文件头、文件结构、文件中的data节、text节等等。
恶意代码分析实战第13章实验
weixin_41487541的博客
03-10 338
Lab13-1 1. 比较恶意代码中的字符串与动态分析提供的有用信息,基于这些比较,哪些数据可能被加密? string查看Lab13-01.exe字符串注意到有http字符串,并且%s表示有输出的值。 利用火绒剑监控Lab13-01.exe,可以看到文件正在访问www.practicalmalwareanalysis.com/aGFueHUtUEM=/ 推测两个%s表示的正是www.practicalmalwareanalysis.com和aGFueHUtUEM=,但在查看Lab13-01
网络与系统攻防技术实验实验报告
最新发布
04-15 1536
将未知代码的签名特征与恶意代码库进行对比,搜索恶意代码库查找时候存在相匹配的恶意代码签名,若有吻合,则判定为恶意代码;反之则判断为正常代码。这种方法的思想是为病毒的特征设定一个阈值,扫描器分析文件时,当文件的总权值超出了设定值,就将其看作是恶意代码.这种方法主要的技术是要准确的定义类似病毒的特征,这依靠准确的模拟处理器。加壳的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,这样做的目的是为了隐藏程序真正的OEP(入口点,防止被破解)。
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 730
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战(开坑) LAB1[含实验链接]
Peanuts
04-01 1872
恶意代码分析实战-实验 lab1-1 网站报告分析 上传分析www.virustotal.com pe工具使用分析时间 使用petools工具查看 查壳分析 利用PEID工具查看 调用的函数分析 lab1.exe调用了FindFirstFile``FindNextFile``CopyFile 很有可能病毒在搜索并且尝试复制文件。 查看dll文件,此处调用了CreateProcess``S...
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1342
恶意代码实战分析
[系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
热门推荐
杨秀璋的专栏
07-24 1万+
前文从总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对您有所帮助~
HTML恶意代码实验原理
05-13
HTML恶意代码实验原理如下: 1. 攻击者构造一个包含恶意代码的HTML文件,并将其上传到一个可公开访问的网站或服务器上。 2. 攻击者通过各种方式诱使用户访问该网站或者点击包含恶意代码的链接,例如通过发送电子邮件、社交媒体、网络广告等方式。 3. 用户在访问该网站或者点击链接后,浏览器会解析HTML文件并加载其中的代码。恶意代码会利用浏览器的漏洞或者用户的不当操作,将自己注入到浏览器中,并获取浏览器的权限。 4. 恶意代码开始执行攻击者设定的攻击行为,例如窃取用户的敏感信息、篡改网页内容、发起DDoS攻击等。 5. 用户在发现异常后,可能会尝试关闭浏览器或清除浏览器缓存,但这些操作并不能完全清除恶意代码,因为恶意代码会在浏览器中留下后门,以便攻击者在需要时进一步控制用户的设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值