恶意代码分析实战—实验3-4

最新推荐文章于 2024-06-21 15:35:52 发布
最新推荐文章于 2024-06-21 15:35:52 发布
阅读量328 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言 processing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108272794
版权

实验环境

实验设备环境:windows XP
实验工具:PEID,Strings,process monitor,process explore

实验思路

1、静态分析恶意程序的基本信息
2、监控并分析恶意程序的特征

实验过程

首先我们先利用静态分析工具PEID进行静态分析:
点击子系统之后点击输入表,获得引入的表项如下:

kernel32.dll
我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏自身。
下面我们可以看到有关于一些Service的函数,说明此程序可能还会涉及到服务方面的信息。
我们还会发现一些有关于注册表的信息,说明程序还涉及到了注册表的操作。
我们还会发现其还调用了ws_32.dll这个dll一般用来网络操作,那么说明此程序还存在一些联网操作。

下面我们可以使用strings进行进一步分析:
strings分析
我们可以观察到一些信息,例如上面所示,并且还出现了HTTP/1.0,那么我们就可以猜测可能是一个http的后门程序。

1、当运行文件的时候,会发生什么?
我们使用process explore进行监控,打开此软件后运行程序:
我们会发现,explore中无变化,但是点击运行以后原来目录下的Lab03-04.exe程序消失了。
2、是什么原因造成动态分析无法有效实施?
这一次我们使用process monitor进行检测。
过滤器
在其中我们可以设定过滤器,通过进程名称进行过滤。现在我们可以进行程序的运行就可以获得监控信息。点击工具栏上面的:
在这里插入图片描述
使其只监控进程信息。
可以发现创建了一个进程,我们点击此进程:
在这里插入图片描述
我们可以发现此信息告知我们他是创建了一个cmd.exe进程并且删除了原有的进程。(del命令)

网安幕后推手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战(二)
weixin_45870307的博客
12-05 934
恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 语法为 rundll32.exe DLLNAME,EXPORT ARGUMENTS EXPORT为dll中的函数名或序号. 3.进程监视器 使用process monitor 监控注册表,文件,网络,进程行为 4.使用进程浏览器来查看进程 使用process explorer 可以查看进程
学习笔记-第四章 恶意代码分析实战
Yes_butter的博客
03-04 633
第四章 x86反汇编学习 一。计算机系统被描述为以下六个抽象层次。 1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的 复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。 2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们 从更高的机器码层翻译过来,提供了访问硬件的接口...
恶意代码分析实战实验Lab 3-3+Lab 3-4
m0_37442062的博客
05-05 353
Lab 3-3 1.当你使用Process explorer工具进行监视时,你注意到了什么? 每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe 2.你可以找出任何的内存修改行为吗? 工具:process monitor 单击 然后选择image和memory practicalmalwareanalysis.log [SHIFT] [ENTER] [BACKSPACE] BACKSPACE [TAB] [CTRL] [DEL] [CAPS
恶意代码分析实战实验3-3
qq_43481350的博客
09-01 425
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
恶意代码分析小技巧 -服务的调试
最新发布
weixin_46143580的博客
06-21 364
4.执行步骤2中的 startService 函数,让程序创建服务成功,同时获取对应的PID,由于步骤3中的汇编代码修改,会造成程序的循环运行,所以系统运行会比较慢。5.启动调试器附加对应的PID,之后将原始的opcode码修改回去即可完成服务的调试。2.宿主程序中对 startService 函数下断点。3.将目标dll文件进行修改,满足。1.释放服务文件到目标文件夹。
恶意代码分析实战 Lab 3-4 习题笔记
isinstance的博客
09-05 916
问题1.当你运行这个文件时,会发生什么呢?解答: 一开始我们使用静态分析技术来看看这个文件有文件的操作,也有进程的操作PEiD显示没有加壳资源节也没有藏东西然后看看字符串用ida有一个command.com的网址还有一些应该错误处理函数的输出字符串 最上面的有个注册表的位置是SOFTWARE\\Microsoft\\XPS有一个HTTP的字符串,还有那个恶意网址说明这个程序会联网然后运行看看然后跟
Sysinternals系列工具之Process Monitor用法
机器视觉之家
11-15 1万+
Sysinternals系列工具之Process Monitor   Winternals是一家提供系统恢复和数据保护解决方案的公司,开发了一系列广受好评的免费系统工具。2006年该公司被微软公司并购,成为微软的子公司,这些免费工具也纳入微软的Windows Sysinternals网站继续供人免费下载。   这些免费的工具包括文件和磁盘、安全、网络、系统信息、进程管理等各种不同用途的
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
让XP跑起来的自动化技巧
求知、求实
04-26 1069
  高效、快捷地使用电脑,恐怕是每一位朋友的努力追求,这不,在自己的Windows XP系统下,几经摸索,“挖掘”出下面几则“自动化”的应用,不敢独享,献给大家。    一、碎片整理自动化   整理碎片一直是操作电脑的一道“家常便饭”,要是每次整理碎片,都要先退出当前正在使用的应用程序,然后依次单击“开始→程序→附件→系统工具→整理碎片”,还真烦人!不如试试这个方法:   第一步:打开记事本程序,
[知识小节]Process Monitor介绍
网络安全知识分享
03-05 1万+
Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析 1、工具基本介绍 Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 Filemon:文件监视器 Regmon:注册表监视器 同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process
ProcessXP and ProcessMonitor
marryshi的专栏
12-07 2417
2 goods tools: processxp processmonitor : can be used for monitor the process Belongs to [SysinternalSuite]
不错的系统进程监视软件——ProcessMonitor
weixin_30887919的博客
02-09 263
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,它除了包含2个Sysinternals遗留组件:专门用来监视系统中的任何文件操作过程的Filemon 和用来监视注册表的读写操作过程的Regmon,还具有以下一些增强:  • 监视进程和线程的启动和退出,包括退出状态代码  • 监视映像 (DLL 和内核模式驱动程序) 加...
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 863
Lab03-04 使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
20202409 2022-2023-2 《网络与系统安全技术》实验四报告
m0_53980546的博客
04-26 425
本次实验内容比较丰富,用到了许多分析软件,结合相关学习资料进行深入学习会发现其涉及到的知识也同样众多,需要静下心来研究才能搞明白。本次实验不仅让我见识了五花八门的分析手段,还同时让我了解了种种样样的攻击方法,我不得不感慨,网络安全领域真的需要过硬的知识本领的加持,路漫漫其修远兮,吾将上下而求索!参考资料关于cygwin的基本配置与基本操作实验相关操作的参考博客1实验相关操作的参考博客2常见高危端口process explorer下载。
Process Monitor中文手册
热门推荐
whatday的专栏
04-04 3万+
1.介绍 2.使用Process Monitor 3.列的选择 4.过滤和高亮 5. 进程树(The Process Tree) 6. 信息概要工具(Trace Summary Tools) 7. 选项 8. 保存和记录(Saving and Logging) 9. 启动记录 10. 配置的导入和导出 11. 命令行选项 12. Process Monitor脚本 13.
实战恶意软件分析:病毒木马解析指南
读者将学习如何拆解恶意代码,理解其执行流程,以及如何识别和避免潜在的陷阱。软件调试技巧也在书中占有重要地位,这对于定位和理解恶意行为至关重要。通过这些技能,读者能够追踪病毒和木马的活动,识别它们如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值