恶意代码分析实战—实验6-2

最新推荐文章于 2023-12-15 14:52:51 发布
最新推荐文章于 2023-12-15 14:52:51 发布
阅读量174 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108302779
版权

实验环境

实验设备环境:windows xp
实验工具:IDAPro,PEID,strings,wireshark

实验过程

使用strings程序进行基础的静态分析:
strings检查
出现了一个恶意程序可能访问的网址,以及一些反应网络连接状态的字符串。
现在我们可以使用PEID进行分析,查看其导入表:
导入表信息
我们主要关注WINNET.dll程序引用的API。(如果兴趣可以通过MSDN查找相关API作用)

下面我们通过wireshark进行动态分析:
开启wireshark以后,运行程序:
DNS
其中存在DNS数据包,解析圈出的网址,还存在HTTP包,使用的是get请求获得页面信息。

下面使用IDA分析:
1、main函数调用的第一个子过程执行了什么函数?
子函数
其调用了系统获取网络连接状态的函数,说明此过程的目的是获得网络连接状态。
2、位于0x40117F的子过程是什么?
此过程是用来打印字符串信息的:
参数
如果函数内部图片中的是正数的话,说明是函数的参数,也不是局部变量。
3、main函数调用的第二个子过程做了什么,使用了什么代码结构?
调用的第二个子过程是函数(sub_401040),点击进入:
函数情况
我们会发现其调用情况基本上都是和网络相关的。
网址
此恶意代码主要是通过解析恶意网址,从网址中获取信息并将其读出来之后判断前四个字符,最后进行了60s的休眠。

网安幕后推手
关注
专栏目录
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 290
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1637
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战实验Lab 6-2
m0_37442062的博客
05-06 342
Lab 6-2静态分析动态分析1.由main函数调用的第一个子过程执行了什么操作?2.位于`0x40117F`的子过程是什么?3.被mian函数调用的第二个子过程做了什么?4.在这个子过程中使用了什么类型的代码结构?5.在这个程序中有任何基于网络的特征的指示吗?6.这个恶意代码的目的是什么?参考 静态分析 使用IDA pro查看字符串 有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于
恶意代码分析实战13-01
Yale的博客
06-15 649
本次实验我们将会分析lab13-01.exe文件。先来看看要求解答的问题 Q1.比较恶意代码中的字符串(字符串命令的输出)与动态分析提供的有用信息,基于这些比较,哪些元素可能被加密? Q2.使用IDA Pro搜索恶意代码中字符串’xor’ ,以此来查找潜在的加密,你发现了哪些加密类型? Q3.恶意代码使用什么密钥加密,加密了什么内容? Q4.使用PEiD插件识别一些其他类型的加密机制,你发现了什么? Q5.什么类型的加密被恶意代码用来发送部分网络流量? Q6.Base64编码函数在反汇编的何处? Q7.恶意
恶意代码分析实战6-1
Yale的博客
05-30 353
本次实验我们将会分析lab06-01.exe,lab06-04.exe两个文件。先来看看lab06-01.exe要求解答的问题 Q1由main函数调用的唯一子过程中发现的主要代码结构是什么 Q2位于0x40105f的子过程是什么 Q3这个程度的目的是什么 尝试运行会发现程序一闪而过 载入peview分析,查看其导入表 ​ 可以看到WININET.dll,其中其中的InternetGetConnectState函数。利用Windows Internet(WinINet)API,应用程序可以使用http协议访问
老王教你怎样快速分析恶意代码
weixin_33770878的博客
01-18 179
工欲善其事,必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。先说说硬件:条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了接下来是必备软件:Windows XP(别嫌弃老,老有老的好处,轻便+省事)IDA Pro(虽然市面上还有别的反...
【ctf】whireshark流量分析之检索篇
最新发布
一大口木的博客
12-15 822
做ctf流量分析的一些技巧。这是检索篇。
strings.exe
02-28
支持win10和XP的strings工具,可以用来扫描文件中包含的字符串
恶意代码分析-第十章-使用WinDbg调试内核
每昔的博客
09-18 1167
目录 笔记 实验 Lab10-1 Lab10-2 Lab10-3 笔记 驱动:Windows设备驱动的简称,是第三方开发商在Windows内核模式下运行代码,常在内存中,负责响应用户态程序的请求。            设备对象不一定是真实的物理设备            应用程序不能直接访问驱动程序             当一个驱动程序首次加载到内核空间中时,会调用Dr...
恶意代码分析实战实验5-1
qq_43481350的博客
09-01 1328
实验环境 实验设备环境:windows XP 实验工具:IDA pro 实验思路 1、掌握IDA Pro基本使用方法 2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用imports窗口并浏览到gethostname的调用,导入函数定位到什么地址? 可以通过点击imports窗口获得信息,双击这个函数就可以获得
恶意代码分析实战实验3-4
qq_43481350的博客
09-01 355
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码静态分析
qq_41821067的博客
02-23 1033
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验实验实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
恶意代码分析-静态分析基础
Amire0x的小乐园
11-03 1722
静态分析 静态基础分析 使用反病毒软件扫描 在线扫描工具 哈希识别 恶意代码样本通过一个哈希程序,会产生出一段用于唯一标识这个样本的独特哈希值 可以在线搜索这个文件是否被识别 在线文件hash计算工具 字符串查找 程序中的字符串就是一串可打印的字符序列 可以通过搜索可执行文件中的可打印字符串 如:微软strings程序,它会忽略上下文和格式,可用来分析任何文件类型 加壳与混淆 恶意代码编写者经常使用加壳或混淆技术,让他们的文件更难被检测或分析。混淆程序是恶意代码编写者尝试去隐藏其执行过程的代码。而加壳程序则
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1936
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2916
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
恶意代码分析实战实验6-3
qq_43481350的博客
09-01 219
实验环境 实验设备环境:windows xp 实验工具:PEID,strings,IDApro 实验过程 首先使用strings进行静态分析如下: 我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。 下面可以使用PEID查看一下导入表: 我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。 我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。 下面使用IDA进行分析: 1、比较在main函数中与
恶意代码分析实战》之基础步骤
weixin_30613343的博客
09-02 149
静态分析: 1,virus total反病毒引擎搜索2,MD5计算哈希值3,用PEid检测是否加壳,并进行脱壳操作4,stringe.exe查看恶意代码的字符串,从中可以看到是否含有特殊的网址,IP地址,特殊的导入函数,比如读写文件,赋值文件,自启动,记录键盘的函数。。。5,用Dependency Walker 查看导入函数,可以猜出这个恶意代码大致的功能。如果导入函数表过于简介,说明可能是加壳过...
恶意代码分析实战实验7-3
qq_43481350的博客
09-01 541
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker,Process Monitor 实验过程 首先可以使用strings查看: lab07-03.exe文件: 我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。 下
恶意代码检测实战-第三章实验二(Lab03-02.dll)
qq_43481350的博客
09-01 793
实验环境: 实验设备环境:windows XP 实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot. 实验思路 1、静态分析dll中的特征信息 2、安装dll中的恶意代码 3、监控并分析恶意程序的特征 实验过程 首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下: 我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能
恶意代码分析实战:配套实验代码解析
资源摘要信息:"恶意代码分析实战配套代码" 恶意代码分析是网络安全领域中的一项重要技能,它涉及到对计算机病毒、木马、间谍软件、蠕虫、僵尸网络等多种恶意软件的分析和研究。恶意代码分析的目的在于理解恶意软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值