分析恶意代码文件Lab13-02.exe

最新推荐文章于 2024-07-17 15:44:23 发布
最新推荐文章于 2024-07-17 15:44:23 发布
阅读量349 收藏 1
点赞数 3
文章标签: 安全 web安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m1287578441/article/details/125185048
版权

分析恶意代码文件Lab13-02.exe

问题:

1.使用动态分析,确定恶意代码创建了什么?

2.使用静态分析技术,例如xor指令搜索、FindCrypt2、KANAL 以及 IDA嫡插件,查找潜在的加密,你发现了什么?

3.基于问题1的回答,哪些导入函数将是寻找加密函数比较好的一个证据?

4.加密函数在反汇编的何处?

5.从加密函数追溯原始的加密内容,原始加密内容是什么?

6.你是否能够找到加密算法?如果没有,你如何解密这些内容?

7.使用解密工具,你是否能够恢复加密文件中的一个文件到原始文件?

开始分析:

利用procmon监控,运行样本。
在这里插入图片描述
在这里插入图片描述

能够发现他在当前目录下不断生成大小为5185KB的文件,这些文件的命名以temp开始,以不同的8个十六进制数字结束。

接下来查下壳,能够发现无壳。
在这里插入图片描述

顺便就看看有没有加密。

在这里插入图片描述

也没有加密。

打开IDA,载入样本,用Findcrypt插件,什么都没有。

在这里插入图片描述

查一下XOR指令。
在这里插入图片描述
在这里插入图片描述

可以看到sub_401739用了很多异或,看看他的关联
在这里插入图片描述

我们可以猜测sub_401851与加密有关。

接下来先看main函数

在这里插入图片描述

能看到函数里call了个sub_401851,跟过去看看

在这里插入图片描述

发现这个函数用了几个API,而且还有sub_401070和sub_40181F。
在这里插入图片描述

再往下可以发现这里出现了和生成的文件名有关的部分,显示用了个GetTickCount函数返回从操作系统启动所经过的毫秒数,将其传递下来作为后面函数的参数。还有调用sub_401000函数。

先看一下sub_401070吧
在这里插入图片描述

看到这一部分,我们能看出他是截屏的一个功能。完整分析过后可知程序调用了获取用户的桌面,创建bitmap对象,加密放在桌面。

再来看sub_40181F
在这里插入图片描述

这里调用了sub_401739,跟进去看看

在这里插入图片描述

调用了sub_4012DD后就开始了一大堆异或,看看sub_4012DD

在这里插入图片描述

看起来应该是一堆加密过程了,具体咋加密的不管他,掉头回去看sub_401000
在这里插入图片描述

能看到里面是一些文件操作。wirteFile 调用之前可能会发现加密函数,加密函数是sub_40181F.

分析到这里,我们大概已经知道这个恶意程序的行为

定时截取屏幕内容,将内容数据存入一个缓冲区,将缓冲区中的数据加密并写入文件之中。

根据猜想,生成的文件可能是图片格式,我们将生成的文件后缀改为png,但是文件已经加密了无法打开。
在这里插入图片描述

接下来进行解密。

解密的话可以分析加密过程编写脚本来进行解密,也可以用OD解密流量,不过我选择直接不执行加密过程。

OD载入样本,找到加密函数0040181F这个位置。把头部retn掉。
在这里插入图片描述

执行程序,把生成的图片打开
在这里插入图片描述

能够查看。

分析完毕。

披萨好吃
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1202
13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 - 将恶意代码伪装成一个合法的...
恶意代码分析实战13-02
Yale的博客
06-15 369
本次实验我们将会分析lab13-02.exe文件。先来看看要求解答的问题 Q1.使用动态分析,确定恶意代码创建了什么? Q2.使用静态分析技术,例如xor指令搜索、FindCrypt2、KANAL等查找潜在的加密,你发现了什么? Q3.基于问题1的回答,哪些导入函数将是寻找加密函数比较好的一个证据? Q4.加密函数在反汇编的何处? Q5.从加密函数追溯原始的加密内容,原始加密内容是什么? Q6.你是否能够找到加密算法?如果没有,你如何解密这些内容? Q7.使用解密工具,你是否能够恢复加密文件中的一个文件到原
恶意代码分析实战 Lab13
baidu_41108490的博客
06-01 1268
lab13-0112首先调用sub_401300函数程序是一系列的资源操作函数,目的是找到资源存到内存在调用401190解密,可以到,是在和3bh进行异或解密,最后把数据地址传回我们用resourcehaacker看一下把它保存二进制文件再用winhex打开,再把数据异或3bh,得到一个url接着看程序,调用WSAStartup,wsa启动命令然后两个sleep(分别睡了500ms和30000ms...
恶意代码分析实战》实验——Labs-13
草草君
04-20 369
恶意代码分析实战》实验——Labs-13 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 《恶意代码分析实战》实验——Labs-13Labs-13-01实验静态分析:IDA分析——exe动态分析:问题Labs-13-02实验静态分析Labs-13-03实验静态分析:静态分析 Labs-13-01实验 静态分析: 查壳——无壳 查看输入表—— Kernel32.dll:加载资源,资源加锁,找到资源,加载库文件,写文件等函数 WS2_32.dll: 主机解析函数,网络连接启动
恶意代码实战Lab13-01分析
Cosmopolitan的博客
12-10 478
先用peid查一下信息 没加壳,vc6写的,拖入ida反编译 先从资源段解密信息,后来分析是url 进入decrypt函数,用的是xor 接下来上传信息 这里用od动态调试,获取主机名,strcpy base64加密主机名,这里可以用peid的插件识别出base64算法 用InternetOpenUrlA的get请求上传加密的信息 ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
HCIE-RS3.0-TS-LAB.exe
05-13
HCIE-RS3.0-TS-LAB.exe
JupyterLab-Setup-Windows.exe
01-14
希望使用jupyter notebook的人群;希望下载Python编译器的人群。
Python库 | jupyterlab-0.24.0-py2.py3-none-any.whl
02-16
`jupyterlab-0.24.0-py2.py3-none-any.whl` 文件是一个用于Python的轮子(wheel)包,它是一个预编译的软件分发格式,适用于Python 2和Python 3,可以在任何平台上安装。 **JupyterLab的核心特性** 1. **多窗口...
恶意代码分析实战第13章实验
weixin_41487541的博客
03-10 327
Lab13-1 1. 比较恶意代码中的字符串与动态分析提供的有用信息,基于这些比较,哪些数据可能被加密? string查看Lab13-01.exe字符串注意到有http字符串,并且%s表示有输出的值。 利用火绒剑监控Lab13-01.exe,可以看到文件正在访问www.practicalmalwareanalysis.com/aGFueHUtUEM=/ 推测两个%s表示的正是www.practicalmalwareanalysis.com和aGFueHUtUEM=,但在查看Lab13-01
分析恶意Windows程序
Hvnt3r的博客
03-24 956
知识点 多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机上感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。 **Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...
脚本类恶意程序分析技巧汇总
鬼手的博客
04-30 3416
文章目录前言python样本分析打包一个hello world关于python文件什么是pyc文件什么是pyo文件什么是pyd文件为什么需要pyc文件关于打包的exe位数python打包exe程序的特征图标特征字符串特征入口特征编译器特征反编译hello world由exe获取pyc由pyc获取pypython代码混淆的解决方案python代码的混淆原理实战去除python代码混淆vbs样本分析v...
恶意软件分析实战19-shellcode调试逆向Lab19-2
輚至消亡
10-01 462
把样本拖入VT内分析: 可以看到爆红,查看一下细节, 发现了IE浏览器进程被创建了。 查看一下导入函数,发现导入了提权相关API。 还有远线程注入以及进程创建相关的API 现在把程序拖入IDA中,一上来就获取了debug权限,后来就获取了IE的路径 其打开了注册表的HKEY_LOCAL_MACHINE\\http\\shell\\open\\command项, 即IE的路径,这个命令行执行后会打开IE浏览器 接着就以隐藏方式开启了IE浏览器,接着把shel...
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1459
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3671
目录 笔记: 实验: Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
查看exe代码_恶意代码分析第七章Lab-07-03实战分析笔记
weixin_39929721的博客
11-30 421
首先我们通过静态分析发现该程序的导入表中有很多文件操作类函数。又在StringView中发现了Lab07-03.dll字符串,我们推断程序有可能调用了该动态库,但却没有发现任何loadlibrary或者getprocaddress函数。所以我们的推测可能是错的,他有可能并没有加载这个动态库。其中也出现了Kernel32.dll的完整路径。但还出现了一个Kerne132.dll的完整路径,很明显,这...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
最新发布
LNN0212的博客
07-17 806
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 508
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值