恶意代码分析实战—实验6-2

最新推荐文章于 2021-05-30 15:53:39 发布
最新推荐文章于 2021-05-30 15:53:39 发布
阅读量149 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108302779
版权

实验环境

实验设备环境:windows xp
实验工具:IDAPro,PEID,strings,wireshark

实验过程

使用strings程序进行基础的静态分析:
strings检查
出现了一个恶意程序可能访问的网址,以及一些反应网络连接状态的字符串。
现在我们可以使用PEID进行分析,查看其导入表:
导入表信息
我们主要关注WINNET.dll程序引用的API。(如果兴趣可以通过MSDN查找相关API作用)

下面我们通过wireshark进行动态分析:
开启wireshark以后,运行程序:
DNS
其中存在DNS数据包,解析圈出的网址,还存在HTTP包,使用的是get请求获得页面信息。

下面使用IDA分析:
1、main函数调用的第一个子过程执行了什么函数?
子函数
其调用了系统获取网络连接状态的函数,说明此过程的目的是获得网络连接状态。
2、位于0x40117F的子过程是什么?
此过程是用来打印字符串信息的:
参数
如果函数内部图片中的是正数的话,说明是函数的参数,也不是局部变量。
3、main函数调用的第二个子过程做了什么,使用了什么代码结构?
调用的第二个子过程是函数(sub_401040),点击进入:
函数情况
我们会发现其调用情况基本上都是和网络相关的。
网址
此恶意代码主要是通过解析恶意网址,从网址中获取信息并将其读出来之后判断前四个字符,最后进行了60s的休眠。

网安幕后推手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
strings.exe
02-28
支持win10和XP的strings工具,可以用来扫描文件中包含的字符串
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 243
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析实战实验Lab 6-2
m0_37442062的博客
05-06 301
Lab 6-2静态分析动态分析1.由main函数调用的第一个子过程执行了什么操作?2.位于`0x40117F`的子过程是什么?3.被mian函数调用的第二个子过程做了什么?4.在这个子过程中使用了什么类型的代码结构?5.在这个程序中有任何基于网络的特征的指示吗?6.这个恶意代码的目的是什么?参考 静态分析 使用IDA pro查看字符串 有一些出错信息,该程序可能会打开一个网页,并解析一条指令。有一个网页信息http://www.practicalmalwareanalysis.com/cc.htm可以用于
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2832
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
恶意代码分析实战实验6-3
qq_43481350的博客
09-01 173
实验环境 实验设备环境:windows xp 实验工具:PEID,strings,IDApro 实验过程 首先使用strings进行静态分析如下: 我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。 下面可以使用PEID查看一下导入表: 我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。 我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。 下面使用IDA进行分析: 1、比较在main函数中与
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
恶意代码分析实战》之基础步骤
weixin_30613343的博客
09-02 134
静态分析: 1,virus total反病毒引擎搜索2,MD5计算哈希值3,用PEid检测是否加壳,并进行脱壳操作4,stringe.exe查看恶意代码的字符串,从中可以看到是否含有特殊的网址,IP地址,特殊的导入函数,比如读写文件,赋值文件,自启动,记录键盘的函数。。。5,用Dependency Walker 查看导入函数,可以猜出这个恶意代码大致的功能。如果导入函数表过于简介,说明可能是加壳过...
恶意代码分析实战实验7-3
qq_43481350的博客
09-01 447
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker,Process Monitor 实验过程 首先可以使用strings查看: lab07-03.exe文件: 我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。 下
恶意代码分析实战实验5-1
qq_43481350的博客
09-01 1184
实验环境 实验设备环境:windows XP 实验工具:IDA pro 实验思路 1、掌握IDA Pro基本使用方法 2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用imports窗口并浏览到gethostname的调用,导入函数定位到什么地址? 可以通过点击imports窗口获得信息,双击这个函数就可以获得
恶意代码静态分析
qq_41821067的博客
02-23 817
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验实验实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
老王教你怎样快速分析恶意代码
weixin_33770878的博客
01-18 157
工欲善其事,必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。先说说硬件:条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了接下来是必备软件:Windows XP(别嫌弃老,老有老的好处,轻便+省事)IDA Pro(虽然市面上还有别的反...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1587
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战实验3-4
qq_43481350的博客
09-01 298
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码分析-第十章-使用WinDbg调试内核
每昔的博客
09-18 1069
目录 笔记 实验 Lab10-1 Lab10-2 Lab10-3 笔记 驱动:Windows设备驱动的简称,是第三方开发商在Windows内核模式下运行代码,常在内存中,负责响应用户态程序的请求。            设备对象不一定是真实的物理设备            应用程序不能直接访问驱动程序             当一个驱动程序首次加载到内核空间中时,会调用Dr...
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1842
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战6-1
Yale的博客
05-30 260
本次实验我们将会分析lab06-01.exe,lab06-04.exe两个文件。先来看看lab06-01.exe要求解答的问题 Q1由main函数调用的唯一子过程中发现的主要代码结构是什么 Q2位于0x40105f的子过程是什么 Q3这个程度的目的是什么 尝试运行会发现程序一闪而过 载入peview分析,查看其导入表 ​ 可以看到WININET.dll,其中其中的InternetGetConnectState函数。利用Windows Internet(WinINet)API,应用程序可以使用http协议访问
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值