《恶意代码分析实战》lab11-2分析

最新推荐文章于 2023-03-04 10:23:31 发布
最新推荐文章于 2023-03-04 10:23:31 发布
阅读量510 收藏 1
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/97397449
版权

Lab11-02分析

前言

该实验进行对底层hook来窃取用户信息的恶意代码分析。

详细分析

首先在系统文件夹下打开Lab11-02.ini文件,如果打开失败则不继续运行。如图所示:

[外链图片转存失败(img-5yVHWP0K-1564132375660)(assets/1564036234399.png)]

[外链图片转存失败(img-Byqaa8XS-1564132375661)(assets/1564036294724.png)]

读取Lab11-02.ini文件后,进入一个简单解密函数。如图所示:

[外链图片转存失败(img-0gSgciVV-1564132375665)(assets/1564037172520.png)]

解密前数据,为乱码。

[外链图片转存失败(img-xCKLDIvE-1564132375668)(assets/1564037212000.png)]

解密后数据,为一个电子邮件。

[外链图片转存失败(img-nIoU0ikk-1564132375672)(assets/1564037226577.png)]

进入最后的sub_1000A4B6函数,整体函数流程注释如图所示:

[外链图片转存失败(img-bP6coWz4-1564132375673)(assets/1564039596796.png)]

首先获取当前进程名,如果不是THEBAT.EXE 或者OUTLOOK.EXE 或者MSIMN.EXE 则退出。这些程序都是邮件通信程序。可以看出该DLL想要对这些程序进行hook,进行邮件操作。如图所示:

[外链图片转存失败(img-u3XP4ljA-1564132375675)(assets/1564038187594.png)]

然后获取当前线程ID,并挂起当前进程里除当前线程外的所有线程,如图所示。

[外链图片转存失败(img-BLNzrTbD-1564132375677)(assets/1564038592994.png)]

获取winsock.dll里的send函数API

[外链图片转存失败(img-8oAbs7pM-1564132375681)(assets/1564038805595.png)]

使用VirtualProtect函数修改send函数前五个字节的运行/读/写权限。便于进行之后的hook。如图所示:

[外链图片转存失败(img-DqIkeHJX-1564132375684)(assets/1564039222210.png)]

将send函数的前五个字节拷贝进申请的一个动态内存,为之后正常执行send函数做铺垫。但是对该申请的内存必须要是可执行的内存块,记下该地址为0x324c5。如图所示:

[外链图片转存失败(img-Fz555MWu-1564132375687)(assets/1564040489163.png)]

hook后的send函数开头,进行了一个跳转,跳到当前DLL中的0x1000113D中去。如图所示:

[外链图片转存失败(img-SqkJdjjT-1564132375688)(assets/1564039441110.png)]

收尾时,恢复被send地址的权限,同时在最后的函数里恢复刚刚被挂起的所有线程。

[外链图片转存失败(img-35gaU3C2-1564132375689)(assets/1564039522787.png)]

[外链图片转存失败(img-wCliOYki-1564132375690)(assets/1564039563191.png)]

跟进hook之后要执行的函数0x1000113D。

该函数会将send的内容修改,当要send的字符串以RCPT TO: <开头,以>\r\n结尾时候,中间即为收件人。而该函数会将一开始解码出的邮箱地址添加到其中。即所有发出的邮件都会被该邮箱收到。如图所示:

[外链图片转存失败(img-zMYxPZdd-1564132375692)(assets/1564041208934.png)]

在结尾会跳回刚刚申请的动态内存执行正常的send函数开头。如图所示:

[外链图片转存失败(img-4RfADsXc-1564132375693)(assets/1564040828152.png)]

再看看这个dll的导出函数,installer

首先会修改该注册表,如图所示:

[外链图片转存失败(img-C8ToIMjB-1564132375695)(assets/1564043252299.png)]

添加该键值,该键值可以hook几乎所有文件。如图所示:

[外链图片转存失败(img-IJNNDVGm-1564132375698)(assets/1564043290790.png)]

[外链图片转存失败(img-pjVuirTM-1564132375699)(assets/1564044061336.png)]

然后将该文件拷贝到系统路径,如图所示:

[外链图片转存失败(img-XytKNveL-1564132375701)(assets/1564043385750.png)]

总结

  • 对底层hook技术有了进一步的认知和学习。包括将开头的五字节代码保存并稍后跳转回去再调用。之前没有过细节上的学习。

  • 认识到APPInit_DLLS,几乎会被所有的只要用到USER32.dll的文件加载。所以非常好进行hook,但是在WIN8之后就因为安全限制不再那么好用了。但是在WIN7以及之前都非常好用。

Wwoc
关注
专栏目录
恶意代码分析实战 Lab11
baidu_41108490的博客
05-28 875
lab11-011
恶意代码分析实战 课后题 Lab11-02
wangtiankuo的博客
08-09 944
这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。 1.样本概况 病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。 1.1样本信息 md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9 sha1:79787427773DCCE211E8E65E1156BD60535494EC
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 545
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
恶意代码分析实战 Lab 11-2 习题笔记
isinstance的博客
04-25 1340
问题 题目提示是: 假设一个名为Lab11-02.ini的可疑文件与这个恶意代码一同被发现 我们这次把分析过程放在上面 我们还是一样的先做一些静态的分析 这里有一个我们以前没见过的函数叫CreateToolhelp32Snapshot 这个函数在MSDN里面的定义是这样的 获取指定进程的快照, 以及这些进程使用的堆、模块和线程 书中对这个导入函数的解释是 搜...
恶意代码实战分析——lab11-02
weixin_51409218的博客
03-04 323
恶意代码实战分析——lab11-02
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 218
恶意代码实战详细分析
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 693
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 668
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战课后练习题
11-04
2. **静态分析**:学习如何通过反汇编器和十六进制编辑器查看恶意代码的原始二进制形式,识别可疑函数和字符串,以及使用工具进行签名匹配和代码相似性分析。 3. **动态分析**:设置沙箱环境,观察恶意软件在实际...
恶意代码分析实战11-2
Yale的博客
05-28 550
本次实验我们将会分析lab11-02.exe文件。先来看看求解答的问题 Q1.这个恶意DLL导出了什么? Q2.使用rundll32.exe安装这个恶意代码后,发生了什么? Q3.为了使这个恶意代码正确安装,Labl 1-02.ini必须放置在何处? Q4.这个安装的恶意代码如何驻留? Q5.这个恶意代码采用的用户态Rootkit技术是什么? Q6.hook代码做了什么? Q7.哪个或者哪些进程执行这个恶意攻击,为什么? Q8. .ini 文件的意义是什么? Q9.你怎样用Wireshark动态抓获这个恶意
恶意代码分析实战—实验11-2
qq_43481350的博客
09-02 433
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg,wireshark,WinMD5,strings,processmonitor 实验过程 首先我们可以使用strings查看: 这就说明恶意程序会利用appinit以及注册表永久的安装自身。并且向上分析可以发现,恶意程序可能会对邮件进行一些操作,并且会涉及到网络操作。 1、这个恶意的DLL导出了什么? 可以使用dependency walker查看: 其存在一个导出函数 导入的kernel32.dll文件
恶意代码分析实战11章实验
weixin_41487541的博客
03-04 3071
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
Lab 11-2
bangren3304的博客
03-03 240
Analyze the malware found in Lab11-02.dll. Assume that a suspicious file named Lab11-02.ini was also found with this malware. Questions and Short Answers What are the exports for this DLL malwar...
恶意代码分析实战》课后题 Lab11-01
wangtiankuo的博客
08-04 2000
1.行为分析 资源节里面有一个可执行文件。 对注册表的Winlogon进行了操作,创建了GinaDLL表项。 创建了msgina32.dll文件,并向此文件中写入了长度为2560字节的数据。 2.恶意代码分析 2.1 对Lab11-01.exe进行分析 根据main函数的伪代码,总结出程序的大致流程为,从资源节中导入文件,打开文件,对文件进行写操作-->获取当前文件的完整路径-->使用
恶意代码分析实战11-1
Yale的博客
05-28 395
本次实验我们将会分析lab11-01.exe文件。先来看看要求解答的问题 Q1.这个恶意代码向磁盘释放了什么? Q2.这个恶意代码如何进行驻留? Q3.这个恶意代码如何窃取用户登录凭证? Q4.这个恶意代码对窃取的证书做了什么处理? Q5.如何在你的测试环境让这个恶意代码获得用户登录凭证? Peview载入 ​ 看到了ginadll和一个注册表,怀疑这可能是一个拦截gina的恶意代码 查看导入函数 ​ 可以看到一些操纵注册表和提取资源节的函数 我们看到了名为TAGD的资源节 ​ 可以看到它里面包含一个pe文
恶意代码分析实战 Lab 11-1 习题笔记
isinstance的博客
04-02 1685
问题 1.这个恶意代码向磁盘释放了什么? 解答: 我们刚刚完成了Windows内核病毒的分析,包括了一些过时的RootKit技术的分析,现在我们回归二进制分析 这里要分析的文件是Lab11-1这个文件,我们先做一些基本的静态分析 我们先看KERNEL32.DLL这个导出DLL 我们可以看到这里有个我们需要注意的CreateFileA导出函数,还有下面那个ExitProcess函数...
恶意代码分析实战 Lab 11-3 习题笔记
isinstance的博客
06-11 1554
问题 分析恶意代码Lab11-03.exe和Lab11-03.dll 确保这两个文件在分析时位于同一个目录下 1. 使用基础静态分析过程,你可以发现什么有趣的线索? 解答:我们还是按照书上的步骤走一遍 我们想做基本的静态分析 我们查看Lab11-03.exe的导入函数,这里我们会看到,从KERNEL32.DLL中导入了这些函数,其中几个被标黄的比较有趣,比如这个Compar...
恶意代码分析实战lab11-1分析
WocW的博客
07-26 675
Lab11-01分析 前言 最近在划水,也在实习。 保研投了信工所北理工和北邮…一个都没有过。然后前几天去信工所六室面试,好消息是被六室录取!!!!但是心还没有定下来,大三的迷茫 然后平时在读《恶意代码分析实战》这本书,觉得这本书很好,实验也很有意思。 该实验经过分析发现,为演示GINA劫持来窃取用户信息的恶意代码。但是在WINXP之后GINA好像不再使用。 详细分析 Lab11-01.exe...
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值