《恶意代码分析实战》lab11-1分析

最新推荐文章于 2022-03-04 15:16:07 发布
最新推荐文章于 2022-03-04 15:16:07 发布
阅读量666 收藏 1
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/97396746
版权

Lab11-01分析

前言

  • 最近在划水,也在实习。
  • 保研投了信工所北理工和北邮…一个都没有过。然后前几天去信工所六室面试,好消息是被六室录取!!!!但是心还没有定下来,大三的迷茫
  • 然后平时在读《恶意代码分析实战》这本书,觉得这本书很好,实验也很有意思。

该实验经过分析发现,为演示GINA劫持来窃取用户信息的恶意代码。但是在WINXP之后GINA好像不再使用。

详细分析

Lab11-01.exe

首先释放资源,如图所示:

在这里插入图片描述

[外链图片转存失败(img-Jd57thFP-1564131718215)(assets/1564023187832.png)]

然后资源导出,为一个DLL。创建一个文件后将该资源写入,为msgina32.dll。从名字上具有欺骗意义,与MSgina.dll很像。如图所示:

[外链图片转存失败(img-PJ1wVtR8-1564131718216)(assets/1564034281413.png)]

然后修改注册表,修改Winlogon里的GinaDLL,增加值为导出的dll,进行GINA拦截。如图所示:

[外链图片转存失败(img-QQpoZB5P-1564131718218)(assets/1564023979490.png)]

[外链图片转存失败(img-V9SwFyrt-1564131718222)(assets/1564024020697.png)]

[外链图片转存失败(img-tL1E6S9i-1564131718224)(assets/1564024589059.png)]

msgina32.dll

首先引入了真正的MSGinadll,并将真正dll所用的函数都进行导出。如图所示:

[外链图片转存失败(img-MaL6xuS0-1564131718227)(assets/1564033940809.png)]

[外链图片转存失败(img-IfFM4Z63-1564131718230)(assets/1564034030354.png)]

大部分函数都仅仅是从真正的MSGina里导出原本的该函数进行执行,如图所示:[外链图片转存失败(img-lnbF9Czh-1564131718234)(assets/1564034060424.png)]

在WlxLoggedOutSAS里,除了执行函数原本的功能外,还执行了额外的函数。有字符串操作。如图所示:

[外链图片转存失败(img-Lw6CP32n-1564131718237)(assets/1564034093322.png)]

跟进后,发现该函数是向文件里写入用户的信息。

[外链图片转存失败(img-lYQWUT3N-1564131718240)(assets/1564032801416.png)]

由于win7抛弃使用Gina,所以该程序无法进行GINA拦截。

总结

由于win7抛弃使用Gina,所以该程序无法进行GINA拦截。

总结

学习到了GINA拦截技术。对知识存储有一定提升。

Wwoc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1117
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战》课后题 Lab11-01
wangtiankuo的博客
08-04 1975
1.行为分析 资源节里面有一个可执行文件。 对注册表的Winlogon进行了操作,创建了GinaDLL表项。 创建了msgina32.dll文件,并向此文件中写入了长度为2560字节的数据。 2.恶意代码分析 2.1 对Lab11-01.exe进行分析 根据main函数的伪代码,总结出程序的大致流程为,从资源节中导入文件,打开文件,对文件进行写操作-->获取当前文件的完整路径-->使用
恶意代码分析实战 Lab 11-1 习题笔记
isinstance的博客
04-02 1660
问题 1.这个恶意代码向磁盘释放了什么? 解答: 我们刚刚完成了Windows内核病毒的分析,包括了一些过时的RootKit技术的分析,现在我们回归二进制分析 这里要分析的文件是Lab11-1这个文件,我们先做一些基本的静态分析 我们先看KERNEL32.DLL这个导出DLL 我们可以看到这里有个我们需要注意的CreateFileA导出函数,还有下面那个ExitProcess函数...
恶意代码分析实战 第十一章课后实验Lab11-01
Stronger_99的博客
04-15 552
首先查看一下字符串: 在这里看到了GinaDLL和Winlogon,这就有理由猜这是一个拦截GINA的恶意代码,这个在书中也提到了,GINA拦截就是在Windows XP系统中,恶意程序可以使用微软图形识别和验证界面(GINA)拦截技术来窃取用户的登陆凭证。 下面使用peid查看一下导入表: 在kernel32.dll中发现了许多关于资源的API函数。 在advapi3...
恶意代码分析实战11章实验
weixin_41487541的博客
03-04 3040
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
Lab 11-1
weixin_30408309的博客
03-02 260
Analyze the malware found in Lab11-01.exe. Questions and Short Answers What does the malware drop to disk? A: The malware extracts and drops the file msgina32.dll onto disk from a resource section na...
恶意代码分析实战lab11-2分析
WocW的博客
07-26 494
Lab11-02分析 前言 该实验进行对底层hook来窃取用户信息的恶意代码分析。 详细分析 首先在系统文件夹下打开Lab11-02.ini文件,如果打开失败则不继续运行。如图所示: 读取Lab11-02.ini文件后,进入一个简单解密函数。如图所示: 解密前数据,为乱码。 解密后数据,为一个电子邮件。 进入最后的sub_1000A4B6函数,整体函数流程注释如图所示: 首先获取当前进...
恶意代码分析实战课后题 Lab11-03
wangtiankuo的博客
08-10 1901
1. 样本概况 病毒名称为Lab11-03.exe。运行后有窗口,编写语言为Microsoft Visual C++ v6.0。 1.1 样本信息 病毒名称:Lab11-03.exe md5值:18EC5BECFA3991FB654E105BAFBD5A4B sha1只:1F3F79EDBB6607B9640DD6A99856EE858AF9CB55 病毒行为: 使用net star
恶意代码分析实战 Lab16
baidu_41108490的博客
06-06 424
lab16-01程序开头就判断了PEB结构,的BeingDebugged是否为为0,如果为0则loc_403573正常执行,否则调用sub_401000接着正常路径走,发现程序又查看了processheap的forceflag标志,同样为0是无调试最后查看了NTGlobalFlag,是否为70h.70则是调试状态然后程序还要求参数不为1看被识别处程序处于调试时函数sub_401000做了什么程序会...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
lab01 lab01lab01
11-21
lab01shiaaschdkjashd 9sadkjhasdkjh akjsdhasd
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码...实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中对应章节的实验。 此外,实验报告中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。
恶意代码分析实战 Lab16-01
wangtiankuo的博客
08-30 715
知识点: 一、 使用windowsAPI来探测调试器是否存在反调试技术 IsDebuggerPresent CheckRemoteDebuggerPresent NtQueryInformationProcess OutputDebugString 二、 手动检测数据结构 检测BeingDebugged属性 fs:[30]指向PEB的基地址,PEB基地址偏移为2的地方是BeingD
恶意代码分析实战 第三章课后实验
Stronger_99的博客
04-09 694
问题1: 导入函数与字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看,可以发现,它所要启动的是vmx32to64.exe程序。 通过对...
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 515
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
做完这几道恶意代码分析实战题,十一回来老板就给涨薪!
dfdhxb995397的博客
09-27 107
十一长假要来啦~ 好多同事都提着行李,下班就去几场火车站的,小编这代码还没敲好,担心有人来黑,实在不放心。 话说知己知彼才能百战不殆,放假前把这几个恶意代码的实验做了,谁也动不了我的网站! 不会查找恶意代码的程序员不是好攻城狮。。 尽管恶意代码以许多不同的形态出现,但分析恶意代码的技术是通用的。你选择使用哪项技术,将取决于你的目标。如何防范恶意代码的恶意程序进行恶意...
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值