恶意代码分析实战7-9章课后题

已于 2022-10-08 19:22:29 修改
阅读量146 收藏
点赞数
文章标签: 服务器 运维
于 2022-08-02 12:08:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41672971/article/details/126117175
版权

第七章

第一题

首先先关注几个函数(积累)

 上述函数很可能是创建服务,有可能开机自启动服务

 上述函数有可能连接一个URL并进行下载

StartServiceCtrlDispatcherA函数中把sub_401040加入服务控制管理器会调用的服务控制函数

 

组合控制互斥量,没有就创建,有就打开

OpenSCManagerA:打开一个服务控制管理器的句柄,以便可以添加修改服务

GetModuleFileNameA:返回当前正在执行的可执行程序或一个被加载的Dll的全路径名,第一个参数是要获得路径名模块句柄,设置NULL来获取这个歌可执行的全路径名

CreateServiceA:创建新服务

注意划线参数

lpBinaryPathName就是获得可执行文件的路径名字,以便安装这个服务

dwStartType:设置服务的启动方式,有好几个值,本例子设置的是开机自启

 首先

xor edx , edx  把edx清零

然后所有值设置成0

然后再年(year)的位置设置成2100

然后调用函数在不同格式之间进行转换

注意lpDueTime参数

是上面SystemTimeToFileTime返回的Filename参数

然后使用waitForsingleObject进行等待

 esi循环体

Start表示启动函数

 注意无条件跳转,无条件请求URL进行下载

 总结:

1.创建互斥量,保证单独运行

2.创建一个服务保证自启运行

3.2100年1月1日

4.无限下载URL

第二题

首先注意以下函数

 

首先复习传递引用类型

很明显传递了ppv的地址,然后把经过函数改变的ppv的值传给了eax,判空eax

举例:ebp-4  为地址    [ebp-4] 为局部变量

 

首先初始化了一个COM对象,获得一个COM对象,对象存在局部变量中,标记为ppv,如果要判断COM功能,还需看iid与clsid参数

分别是IIDIWebBrowser2与Internet Explorer

 不理解哈哈哈!!!!!

第三题

先看字符串

 Lab07-03.dll告诉我们该exe可能访问dll

看导入表

注意函数

CreateFileA,CreateFileMappingA,MapViewOfFile

有可能打开文件并且映射到内存

FineNextFileA,FineFirstFileA

有可能搜索目录

CopyFileA有可能复制搜索到的文件

检查DLL的字符串

看到了一个ip,有可能连接到它

查看导入表,发现包含网络发送和接收的所有函数

技巧

函数图过于复杂我们可以线先只分析Call指令

View->OpenView->Function  CALL

 浏览函数大概

_alloca_probe:在空间分配一个巨大的栈空间

打开互斥体

scoket-------recv一定是要传输和接收数据,至于是什么不知道

首先检查connect窗口

一个固定的IP

一个80端口号

send函数

 传输了一个hello数据

发送hello给服务器

查看期望回复什么数据

首先eax存放指针,指向缓冲区buf的指针

 再次访问了缓冲区的指针,然后调用strncmp函数判断是否是sleep,如果是,则执行sleep函数,如果不是,则再次比较字符串是不是exec,通过strncmp的返回值来判定跳转

注意CommandLine参数

 不理解,时候再补充

分析exe

开始比较eax的值是否为2,如果不是那么跳转直接结束

如果是,往下执行 

发现了一个向上的循环代码

继续往下

  这些函数应该是创建一个文件

我们发现这些函数出奇的复杂,应该是文件内存的偏移计算,这时候不要把时间浪费在分析这种函数的上面,直接查看他们调用了什么函数,最后直接动态调试这些函数往往更具有明显的价值

查看sub_401140与sub_401170

发现也是一堆关于内存偏移计算的函数,先跳过


仍然是一堆关于内存偏移计算的函数

此时这些函数应该代表着一个文件已经被修改完毕得到的结果

我们现在查看sub_4011E0函数

发现这个FindFirstFileA应该是和前面字符串c:\\一起调用组成在C这个路径搜索文件的一个操作

接下来又是一些浪费时间的函数

接下来查看下面调用了哪些函数,首先sub_4011E0是一个递归自己的函数

调用了sub_4010A0,查看该函数

首先这些都是映射文件到内存

频繁调用IsBadReadPtr,目的是判断进程是否可以有权限访问指定内存块

 首先先对比字符串

然后注意几个函数    repne scasb和 rep movsd函数

这两个指令功能上与srtlen 与memcpy等价

继续观察主要部分,需要进行计算的部分

movsd与movsb是从esi指向的内存位置复制到edi指向的内存位置,预示我们要查看edi中是哪里

然后找到ebx和dword_403010

ebx出现在stricmp函数上面,我们发现下面的指令是把esi-----edi=ebx,也就是把esi的东西覆盖到ebx中,esi是dword_403010,查看一下

3,4,5,6,7开头的十六进制数字应该为ascii字符,按A键转换字符串之后

 那么就真相大白,先比较字符串,如果不是kernel123.dll,那么就替换成kernel132.dll

第九章

先牢记几个指令

bboywxy8340
关注
恶意代码分析实战 课后 Lab11-02
wangtiankuo的博客
08-09 956
这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。 1.样本概况 病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。 1.1样本信息 md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9 sha1:79787427773DCCE211E8E65E1156BD60535494EC
恶意代码分析实战课后练习
11-04
"恶意代码分析实战课后练习"是一份针对这一主的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战课后
07-03
该文件解压后会包含另外一个压缩文件该文件解密密码为malware
恶意代码分析实战》之课后分析
di_pingxian的博客
12-27 662
课程目录 第一:静态分析基础 课时1 让我们从最简单的静态分析开始 课时2 初次接触加壳的程序 课时3 通用脱壳机能够减轻我们的很多工作 课时4 PE结构其实能告诉我们很多信息 第二:动态分析基础 课时1 开始动态地分析恶意程序 课时2 分析一个不可直接运行的DLL程序 课时3 恶意程序会窃取你的键盘输入 课时4 会自我删除的恶意程序 第三:IDA Pro 课时1 IDA Pro可以让恶意...
恶意代码分析实战课后 Lab11-03
wangtiankuo的博客
08-10 1926
1. 样本概况 病毒名称为Lab11-03.exe。运行后有窗口,编写语言为Microsoft Visual C++ v6.0。 1.1 样本信息 病毒名称:Lab11-03.exe md5值:18EC5BECFA3991FB654E105BAFBD5A4B sha1只:1F3F79EDBB6607B9640DD6A99856EE858AF9CB55 病毒行为: 使用net star
恶意代码分析实战课后
weixin_43988404的博客
03-16 671
PracticalMalwareAnalysis-Labs 《恶意代码分析实战》的课后链接 在win xp环境下 链接:https://pan.baidu.com/s/18Geh-MI_-LXvaMIGe5lRvg 提取码:f97k
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战课后第三
weixin_43988404的博客
03-20 387
Lab 3-1 1、首先静态分析,使用PEid分析,加壳 目前还不会PEncrypt的脱壳,后续再补充(网上资料PEnrypt 3.1 Final的OEP在401528处,以后验证) 因为加壳了,所以显示的导入表和函数不多 。 使用strings进行查看 出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...
恶意代码分析实战》第1 静态分析基础技术(课后实验Lab 1)
qq_43443410的博客
07-17 1907
第1 静态分析基础技术(实验)Lab 1-11.1 将文件上传至http://www.ViresTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?1.2 这些文件是什么时候编译的?1.3 这两个文件中是否存在迹象说明他们是否被加壳混淆了?如果是,这些迹象在哪里?1.4 是否有导入函数显示出了这个恶意代码时做什么的?如果是,是哪些导入函数?1.5 是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?1.6 是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?1
恶意代码分析实战 7 WinDbg
最新发布
农夫果园好好喝的博客
01-24 1813
(好奇怪,没看到3)分析该Lab 10-01.sys文件,发现导入表只有三个函数,第一个函数是KeTickCount,剩下两个函数是RtlCreateRegistry和RtlWriteRegistryValue,这告诉我们驱动可能访问了注册表。通过IO通信给驱动发送了控制码0ABCDEF01h,接下来的几个函数初始化了COM对象,并在每30s执行一次某个函数,这个函数有一个参数是这个网址字符串,经过在虚拟机运行程序可知,这是每30s弹出一个广告网页。当打开驱动文件,移动到它的入口时,看到如下代码。
【无标
weixin_44329939的博客
04-15 228
Windows 服务程序(二) OpenSCManager() 介绍: 功能:建立了一个到服务控制管理器的连接,并打开指定的数据库。 函数原型:SC_HANDLE OpenSCManager( LPCSTR lpMachineName, // 指向零终止字符串,指定目标计算机的名称。 通常为 NULL。 LPCSTR lpDatabaseName, // 指向零终止字符串,指定将要打开的服务控制管理数据库的名称。通常为 NULL。 DWORD
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1177
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
【原创】驱动加载之OpenSCManager
weixin_34216036的博客
08-10 351
SC_HANDLE WINAPI OpenSCManager( _In_opt_ LPCTSTR lpMachineName, _In_opt_ LPCTSTR lpDatabaseName, _In_ DWORD dwDesiredAccess ); 函数作用:以一定的权限,在指定的计算机打开指定的SCM数据库 参数: 1.lpMachineName:目标计算机名,NUL...
获取IWebBrowser2指针的方法
weixin_30532987的博客
01-27 79
版权声明请尊重原创作品。转载请保持文完整性,并以超链接形式注明原始作者“tingsking18”和主站点地址,方便其他朋友提问和指正。 在Internet Explorer编程中,获取WebBrowser指针通常是一件很重要的事情,因为有了WebBrowser指针,我们就有了对IE完整的控制权。我们就可以对IE浏览器为所欲为了,想干什么都可以。比方说获取或者设置DOM控件的值。调用页面中的Ja...
openscmanager
zhangjunjian127的专栏
12-17 7676
WindowsNT下Service的编程 [ 2005-12-6 22:03:00 | By: 风吹雨点飘 ] ----此例中原程序使用Delphi编制,老妖将之改成CB版。:D ----WindowsNTServer提供多种功能强大的服务(Service),例如FTP,WWW或远程登录服务,另外常用的数据库服务器也是以Service的形式存在于NTServer上的,如Sybase SQLS
开启服务并设置服务启动方式
大头的博客
04-12 1900
/*******************************************************************************函数名:OpenServerWithStartTypeByName函数功能:以请求的方式打开服务函数参数: strServerName: 服务名称 nStartType: 启动方式函数返回值: TRUE : 设置成功 FAL...
Win7下安装Sphinx错误FATAL: OpenSCManager() failed: code=5
weixin_34238642的博客
06-17 424
在Win7下将Sphinx安装成windows服务时碰到如下错误: Install the searchd system as a Windows service: C:\Sphinx\bin> C:\Sphinx\bin\searchd --install --config C:\Sphinx\sphinx.conf.in --servicename SphinxSearch ...
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值