恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)

最新推荐文章于 2024-04-22 18:13:46 发布
最新推荐文章于 2024-04-22 18:13:46 发布
阅读量1.3k 收藏 6
点赞数
分类专栏: 恶意代码分析实战 文章标签: windows c++ c语言 python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maluxiao123/article/details/127413480
版权

本文章为《恶意代码分析实战》的题目答案解析以及个人的一些理解,将通过一下问题对恶意代码Lab05-01.dll进行分析:

  1. D1lMain的地址是什么?
  2. 使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址?
  3. 有多少函数调用了gethostbyname?
  4. 将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗?
  5. IDA Pro识别了在0x10001656处的子过程中的多少个局部变量?
  6. IDA Pro 识别了在0x10001656处的子过程中的多少个参数?
  7. 使用Strings窗口,来在反汇编中定位字符串\cmd.exe /c。它位于哪?
  8. 在引用\cmd.exe /c的代码所在的区域发生了什么?
  9. 在同样的区域,在0x100101C8处,看起来好像dword_1008E5C4是一个全局变量,它帮助决定
    走哪条路径。那恶意代码是如何设置dword_1008E5C4的呢?(提示:使用dword_1008E5C4的交叉引用。
  10. 在位于0x1000FF58 处的子过程中的几百行指令中,一系列使用memcmp来比较字符串的比较。
    如果对robotwork的字符串比较是成功的`(当memcmp返回0),会发生什么?
  11. PSLIST导出函数做了什么?
  12. 使用图模式来绘制出对sub_10004E79的交叉引用图。当进入这个函数时,哪个API函数可能被
    调用?仅仅基于这些API函数,你会如何重命名这个函数?
  13. D11Main直接调用了多少个Windows API?多少个在深度为2时被调用?
  14. 在ex10001358处,有一个对Sleep(一个使用一个包含要睡眠的毫秒数的参数的API函数)的
    调用。顺着代码向后看,如果这段代码执行,这个程序会睡眠多久?
  15. 在Ox10001701处是一个对socket的调用。它的3个参数是什么?
  16. 使用MSDN页面的socket和 IDA Pro中的命名符号常量,你能使参数更加有意义吗?在你应用
    了修改以后,参数是什么?
  17. 搜索in指令( opcode 0xED)的使用。这个指令和一个魔术字符串 vXh用来进行VMware检测。
    这在这个恶意代码中被使用了吗?使用对执行 in 指令函数的交叉引用,能发现进一步检测VMware的证据吗?
  18. 将你的光标跳转到Ox1001D988处,你发现了什么?
  19. 如果你安装了IDA Python插件(包括IDA Pro的商业版本的插件),运行Lab05-01.py,一个本
    书中随恶意代码提供的IDA Pro Python脚本,(确定光标是在Ox1001D988处。)在你运行这个脚本后发生了什么?
  20. 将光标放在同一位置,你如何将这个数据转成一个单一的ASCII字符串?21.使用一个文本编辑器打开这个脚本。它是如何工作的?

答案解析:

1. DllMain的地址是什么?

1000D02Eh
使用IDA打开文件后会自动跳转到DLLMAIN,或者你可以在左边的functions窗口找到dllmain地址

最低0.47元/天 解锁文章
thesky0001
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【线程同步系列4】线程死锁问题及解决办法
业精于勤,荒于嬉
06-19 989
线程1拥有了临界区对象A,等待临界区对象B的所有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,就造成了死锁。对多线程来说,如果线程1拥有了临界区对象A,等待临界区对象B的拥有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,那么这就造成了死锁。下面通过代码来演示线程死锁的发生。下面,我们来分析上述程序的执行过程。当线程1得到临界区对象g_csA的所有权之后,调用 Sleep函数,让线程1睡眠1ms,这将导致线程1暂停运行,其目的是为了让线程2优先得到临界区对象g_csB的所有权。
IDA与windbg分析.dll库文件
weixin_45799954的博客
04-12 2094
windbg与IDA分析库文件IDA与windbg分析.dll库文件定位 IDA与windbg分析.dll库文件 IDA打开.dll库文件 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件 IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->m
ida动态调试dll
qq1010624的博客
09-14 3910
有时候会发现有的dll都是动态获取API,IDA静态分析看不了,因此利用IDA动态调试dll,当API获取完毕后保存,便于分析
ida_pro7.7加载不出插件
yuliana的博客
04-22 336
目前使用的ida版本是7.7绿色版,看介绍有很多插件可以使用,掏出ida想要把玩一下。当我右键发现并没有找打插件选项,直接学习结束!按照上图所说,用方案一,可能我太菜了,有些依赖一直安装不上,比如unicorn。运行idapyswitch.exe,选了一个3.10版本。最近在学习ida,发现出门就碰壁。开始愉快的pip install。不错,该有的都有了。安装上去了,进入ida右键看看。索性,换个python版本。
IDA Pro分析Lab05-01.dll
weixin_51758733的博客
05-21 273
IDA Pro分析Lab05-01.dll
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程
liujiayu2的专栏
06-19 6330
标 题: 【原创】使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。 作 者: shayi 时 间: 2015-02-12,05:19:54 链 接: http://bbs.pediy.com/showthread.php?t=197829 使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析
恶意代码分析实战13章-IDApro插件entropy_plugin.plw
09-04
恶意代码分析实战13章-IDApro插件findcrypt.plw..
恶意代码分析实战13章-IDApro插件findcrypt.plw
09-04
恶意代码分析实战13章的IDApro插件用于识别加密算法。。
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
用实例分析使用动态库DLL与使用静态库SLL的区别
bobopeng
08-05 1028
一个伟大的程序员应该知道他缩写代码的每一个字节的意义,这
IDA学习笔记
lee353086的专栏
06-09 1万+
标题:IDA学习笔记 作者:kagula 日期:2015-06-09 环境:IDA 6.6、VS2013Update4 阅读前提: 熟悉计算机指令 介绍    通过分析自己用VS2013写的Win DLL来学习IDA反汇编工具的使用。这里记录了我分析二进制代码过程中经常遇到的问题。      首先通过参考资料[1]来熟悉下IDA的使用,建立个最基本的概念。“idb”文件是你分析
20.IDA-修改二进制文件、显示修改点
hgy413的专栏
02-10 2万+
1.功能选项Edit▶Patch Program菜单是GUI版本的IDA的一项隐藏功能,用户需要编辑idagui.cfg配置文件才能激活该菜单 可用选项如图所示 1.1.Change byte用于编辑IDA数据库中的字节值。相关的字节编辑对话框如图所示 这个对话框显示了从光标所在位置开始的16个字节的值。你可以更改显示的部分或全部字节。 同时,Address表示了虚拟地址,File of
利用ida对程序的静态链接库进行处理(转)
zhangmiaoping23的专栏
12-28 6811
转:http://seckungfu.com/blog/2012/07/14/li-yong-idadui-cheng-xu-de-jing-tai-lian-jie-ku-jin-xing-chu-li/ 利用ida对程序的静态链接库进行处理 用IDA进行反汇编时最怕遇到的就是跟踪到了程序静态链接的库函数中,看得一头雾水不说,还浪费了大量的时间。其实如果有符号表的话,看看函数名就知道
反汇编工具IDA使用详解
热门推荐
dvlinker的技术专栏
10-07 4万+
本文详细介绍反汇编工具IDA Pro的使用。
动态链接库(dll)文件解析
qq_28249373的博客
07-25 2万+
生成动态链接库(dll文件)1、使用VS生成动态链接库的步骤: (1)新建一个win32控制台工程,并在应用程序设置窗口中选择“Dll”选项,附加选项选择“空项目”。如下图:(2)创建完工程之后,添加源文件,在源文件中写上想导出到dll文件的函数。函数声明之前应该加上“_declpec(dllexport)”表示函数输出为动态链接库。除此之外,还要在函数名前面加上调用约定。因为c/c++语言默认的
利用python分析恶意代码pdf_利用Python开源工具分析恶意代码
05-24
利用Python来分析恶意代码PDF可以使用一些开源工具,如pefile、...总的来说,Python和一些开源工具可以帮助您分析恶意代码PDF,但是要记住,这只是开始,您需要对恶意代码进行更深入的分析才能真正了解其行为和意图。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值