恶意代码动态分析

最新推荐文章于 2024-05-13 20:19:25 发布
最新推荐文章于 2024-05-13 20:19:25 发布
阅读量2k 收藏 3
点赞数
分类专栏: 网络空间安全 文章标签: 恶意代码动态分析 process exploer process moniter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41821067/article/details/114004623
版权

目录

实验一

使用动态分析技术来分析lab03-01.exe文件中发现的恶意代码

问题

找出这个恶意代码的导入函数和字符串列表
找出代码在主机上的感染特征
创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。
找出是否存在一些有用的网络特征码,如果存在,它们是什么?
不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。

实验环境

winxp
实验工具:Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响),PEID,Wireshark(监控全面监控目标程序对网络的改变)
实验文件:lab03-01.exe

实验思路

学会基本的动态分析工具的使用方法,监控恶意程序对本地计算机的修改,分析恶意程序的网络特征

实验过程

1、用PEID静态检测,看到导入函数只有kernel32的动态链接库,ExitProcess函数
2、strings程序查字符串,因为加壳有很多不可识别的字符串,看到注册表的路径和一个网址,
currentVersion\Run实现自启动的表项
3、启动wireshark,点击开始,启动Process Monitor,点击filter,点击筛选条件,点击process name 输入lab03-01.exe,点击add,ok

最低0.47元/天 解锁文章
Nefelibat
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
恶意代码检测理论(静态与动态分析基础)
H4ppyD0g的博客
11-03 9406
什么是恶意代码 恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。 恶意代码类型 1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码 2、后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。 3、僵尸网络:...
恶意代码分析实战_03动态分析基础技术
kitsch0x97的博客
05-05 770
动态分析就是在运行恶意代码之后进行检查的过程。动态分析技术是恶意代码分析的第二步,一般在静态分析技术进入一个死胡同的时候进行,比如恶意代码进行了混淆,或者分析师已经穷尽了可用的动态分析技术。动态分析包括在恶意代码运行时刻进行监控,以及在恶意代码运行之后来检查系统情况。与静态分析不同,动态分析能够让你观察到恶意代码的真实功能,一个行为存在于二进制程序中,并不意味着它就被执行。动态分析也是一种识别恶意代码功能的有效方法。
网络传输的魔法——深入解析DLL技术
m0_72410588的博客
08-26 598
动态链接库(DLL)是一种包含可由多个程序同时使用的代码和数据的文件,它具有许多用途和优点。DLL文件可以包含函数、类、变量以及其他资源,它们被设计成在程序运行时被动态加载和链接,以提供特定功能和服务。通过本文的介绍,我们对DLL技术有了更深入的了解。DLL作为网络通信和软件开发中的重要组成部分,发挥着关键的作用。它具有许多优点和应用场景,但也面临着一些挑战和安全风险。理解DLL的工作原理和应用技术,对于提升软件设计和开发的质量和效率具有重要意义。
恶意代码分析实战 --- 第三章 动态分析基础技术
abelxu
05-16 785
Lab 3-1 1.找出恶意代码的导入函数与字符串列表 导入函数只有一个ExitProcess,可能被加壳了。字符串存在两个注册表,1个url,还有1个PE文件名 2.这个恶意代码在主机上的感染迹象特征是什么? 3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么? 提前启动process monitor(设置过滤WriteFile、RegSetValue)、process expore、Fakenet(用于监控网络) 写了一个文件到C:\WINDOWS\System32\vmx32to6
第二章:恶意软件动态分析基础
weixin_50005008的博客
05-14 1101
文章目录前言动态分析的局限 前言   静态分析侧重的是恶意软件在文件形式中的表现,动态分析则在一个安全、受控的环境中运行恶意软件以查看其行为方式。通过动态分析,我们可以绕过常见的静态分析障碍,例如加壳、混淆,以更直观地了解给定恶意软件样本的目的。由于动态分析揭示了恶意软件样本的作用,因此我们可以根据它的动作与其他恶意软件样本进行比较。这些线索有助于我们根据共同的特征对恶意软件样本进行分类,甚至可以帮助我们识别由相同组织制作或者属于相同攻击活动的恶意软件样本。   最重要的是,动态分析对于构建基于机器学习
恶意代码分析实战1-1
Yale的博客
05-28 787
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下: 1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.这些文件是什么时候编译的? 3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数? 5.是否有任何其他文件
恶意代码分析实战 2 动态分析基础技术
农夫果园好好喝的博客
01-24 1816
使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。问题ws2_32cks=uadvapi32ntdlluser32StubPathadminWinVMX32-AppData网址是需要注意的,注册表的这个目录也需要注意,CurrentVersion经常用于恶意软件的自启动。拖入PEiD,查看一下是否有壳。由于加了壳,只能看到一个函数表。
恶意代码分析实战
09-20
, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 425
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1810
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1728
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
静态代码分析与动态代码审计:结合使用的优势
禅与计算机程序设计艺术
12-26 554
1.背景介绍 在当今的软件开发环境中,软件的复杂性和规模不断增加,这使得软件的质量和安全性变得越来越重要。为了确保软件的质量和安全性,软件开发人员和安全专家需要使用各种工具和方法来检查和分析软件代码。静态代码分析和动态代码审计是两种常用的软件分析方法,它们各有优势,但也有一些局限性。在本文中,我们将讨论这两种方法的背景、核心概念和联系,并讨论如何结合使用它们以实现更好的软件质量和安全性。 1....
静态和动态代码分析之间有什么区别,您如何知道使用哪个?
Rs的博客
10-17 8960
让我们从体育类比开始,以帮助说明这两种方法之间的区别。静态代码分析类似于使用练习网和投球机练习棒球挥杆。几乎没有什么惊喜。经过几次挥杆后,您确切地知道每次球都在哪里。这有助于基础知识的工作,并确保您具有良好的状态。虽然这有助于改善您的游戏,但它只能使您步入正轨。 动态代码分析更像是在带电投手的情况下练习挥杆动作,每个投球的类型和位置都发生变化。它不仅测试您的基础知识,还测试您对不同的意外情况做...
代码潜在故障的动态分析
Huang_Haixu的专栏
11-16 252
[b][size=large]引子[/size][/b] 大家都听说过FindBugs的大名。这是一款静态代码分析的工具。能够直接对字节码文件加以分析,并发现潜在的反模式(anti-pattern),从而有效地促进代码质量的改善。 但FindBugs只能用于[b][color=blue]静态[/color][/b]代码分析。这也就意味着对于一些运行时的问题,例如,对于指定对象所属类型的校验...
恶意软件检测中的行为分析
ptsecurity的博客
06-21 2580
恶意软件检测中的行为分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nefelibat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值