恶意代码静态分析

最新推荐文章于 2024-04-30 17:57:54 发布
最新推荐文章于 2024-04-30 17:57:54 发布
阅读量865 收藏 6
点赞数
分类专栏: 网络空间安全 文章标签: 恶意代码静态分析 strings 脱壳 PEID PEtools
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41821067/article/details/113998711
版权

目录

strings 的使用

注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下

列出可打印的字符

进入cmd
*1、进入根目录cd *

strings 文件名称.exe

可以看到system 下面有一个dll 文件用来混淆原本的dll 文件
基于主机的迹象

2、string 文件名.dll
出现一个网址
www.ip.cn用于ip地址的查询,网络的迹象
ip地址是保留地址的话是私有地址
exec
给后门传入命令
sleep
让后门程序休眠

exe程序与dll程序的关系

exe程序可以使dll程序运行,dll程序

实验一

使用环境 windows xp
工具:PEID,strings, Free UPX,VirSCAN.org
试验文件:lab01-02.exe

实验思路:利用网络扫描工具和本地静态工具对目标程序进行分析,再利用自动化脱壳工具进行脱壳

1、VirSCAN.org进行扫描程序,查看结果
2、PEID文件是否有加壳的迹象,文件可以拖入,进行multi scan,如果有进行脱壳,使用Free UPX在菜单action下选择脱壳,脱壳之后将源程序覆盖
3、有没有导入函数暗示这个程序的功能࿰

最低0.47元/天 解锁文章
Nefelibat
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
恶意代码分析实战第一章习题实验
Amire0x的小乐园
11-03 1097
Lab 01-01Lab01-01.exeLab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是什么时候编译的? 使用PEtools打开文件,点击文件头可看到,其他同理。 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 使用PEID打开文件,注意红框内的东西,这里表示该程序是
windows 中使用 strings 命令
Hacker
09-25 3380
Strings - Windows Sysinternals | Microsoft DocsSearch for ANSI and UNICODE strings in binary images.https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 1044
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战》lab1-1
weixin_51588494的博客
03-20 137
答:我觉得是有的,主要有一下几点:导入的函数少,字符串扫描出来的少,同时其分节的虚拟大小与物理大小不一致。答:我觉得导入函数采取的是一些文件性的操作。这里从字符串中扫描,可以看到其改变了系统库的l变成了1,作为被侵入之后的标准。4.是否有导入函数显示出了这个恶意代码是做什么的?5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?2.这些文件是什么时候编译的?7.你猜这些文件的目的是什么?答:我上传的是微步云。
Windows取证实验
qq_63855830的博客
03-26 1955
Windows活取证实验
Strings字符串分析工具
04-17
strings.exe分析字符串
linux strings-在对象文件或二进制文件中查找可打印的字符串
diaoxie6274的博客
08-29 445
推荐:更多Linux文件查找和比较命令关注:linux命令大全 strings命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列,以换行符或空字符结束。 strings命令对识别随机对象文件很有用。 语法 strings [ -a ] [ - ] [ -o ] [ -t Format ] [ -n Number ] [ -Number ] ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战
09-20
, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配...
恶意代码分析之API hash反静态分析.pdf
11-15
恶意代码分析中, Windows 平台的 API 函数是非常重要的信息来源, 比如通过分析恶意代码使用的 API 函数, 我们不需要对已加壳的文件进行逆向分析,因为我们只需要对恶意代码所执行的 API 调用来进行动态分析,...
恶意代码分析实战(带目录)
10-05
本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有...
strings.exe
02-28
支持win10和XP的strings工具,可以用来扫描文件中包含的字符串
恶意代码分析实战 英文原版pdf
12-28
恶意代码分析实战,详细介绍了网络安全基本技术。包括:静态分析、动态分析、反汇编、IDA分析
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
java 参数后面的三个点表示什么意思
007liuchao007
08-08 511
java 参数后面的三个点表示什么意思 2013-06-13 11:16:49| 分类: java |举报|字号 订阅 类型后面三个点(String...),是从Java 5开始,Java语言对方法参数支持一种新写法,叫可变长度参数列表,其语法就是类型后跟...,表示此处接受的参数为0到多个Object类型的对象,或者是一个Object[]。 例如我们有一个方法叫做test(St...
使用strings查看二进制文件中的字符串
weixin_34290390的博客
07-21 943
使用strings查看二进制文件中的字符串  今天介绍的这个小工具叫做strings,它实现功能很简单,就是找出文件内容中的可打印字符串。所谓可打印字符串的涵义是,它的组成部分都是可打印字符,并且以null或者newline结尾。 对于普通文本文件来说,strings没有任何意义,因为文本文件中的任何内容实际都是可打印的字符串。strings最常用的场合就是列出动态库或者可执行程序等二进制文件...
转:详解linux中的strings命令简介
weixin_30954607的博客
08-21 759
详解linux中的strings命令简介 更新时间:2016年12月16日 09:44:39 作者:stpeace 在Linux下搞软件开发的朋友, 几乎没有不知道strings命令的。我们先用man strings来看看: strings - print the strings of printable characters in files. ...
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3536
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码检测理论(静态与动态分析基础)
H4ppyD0g的博客
11-03 9111
什么是恶意代码 恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。 恶意代码类型 1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码 2、后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。 3、僵尸网络:...
大数据的恶意代码分析技术
05-30
大数据在恶意代码分析方面的技术主要包括以下几个方面: 1. 恶意代码数据采集技术:通过网络流量捕获、邮件附件、磁盘镜像等方式,收集大量的恶意代码数据。 2. 恶意代码特征提取技术:通过对恶意代码进行静态和动态分析,提取恶意代码的特征,包括指令、函数、API调用、文件操作等等。 3. 恶意代码分类技术:通过机器学习、数据挖掘等技术,将恶意代码分类成不同的类型,并识别出高危的恶意代码。 4. 恶意代码行为分析技术:通过动态分析技术,监控恶意代码的行为,分析其攻击方式、攻击目标和攻击效果,以便更好地理解和应对恶意代码。 5. 恶意代码可视化技术:通过可视化技术,将恶意代码分析结果以图表、报表等形式展现出来,以便更加直观地理解和应对恶意代码。 6. 恶意代码应急响应技术:通过建立恶意代码应急响应机制,及时发现和应对恶意代码的攻击,包括隔离感染的主机、清除病毒等。 以上是大数据在恶意代码分析方面的一些技术,这些技术通过结合实际应用场景,可以更好地发现和应对新型的网络攻击和病毒,保障企业和组织的信息安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nefelibat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值