恶意代码分析实战—实验6-3

最新推荐文章于 2024-05-13 20:19:25 发布
最新推荐文章于 2024-05-13 20:19:25 发布
阅读量189 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108303513
版权

实验环境

实验设备环境:windows xp
实验工具:PEID,strings,IDApro

实验过程

首先使用strings进行静态分析如下:
strings静态分析
我们可以看到其涉及到网络状态,一个未知的域名以及一些注册表相关的信息。
下面可以使用PEID查看一下导入表:
PEID
我们可以观察到此dll会调用创建目录API函数,之前我们利用strings查看到包含C:\Temp,就是通过此函数创建的。
注册表相关
我们可以看到这个dll调用的函数是有关于注册表设置值的一些API函数。
下面使用IDA进行分析:
1、比较在main函数中与上一个实验的mian函数相比,新调用的函数是什么?
通过对比可知:
函数
图中圈出的函数为新函数,点击进入:
参数

我们会发现其存在两个正数,那么就说明此函数包含两个参数。

2、这个新函数使用的参数的什么?
返回上一层:
上一层调用函数
可以发现此函数的两个参数一个是存放在eax中一个是存放在ecx中。其中eax取决于argv。ecx的取值取决如下:
ecx取值
可以从上图中发现ecx的值取决于al,而al的值取决于sub_401040函数。
3、这个函数主要的代码结构是什么?
switch语句
4、这个函数能够做什么?
我们可以先分析一下switch分支中每一个分支代表的含义:
(1)第一个分支
第一个分支
第一个分支的作用是在C盘下创建一个Temp文件夹。
(2)第二个分支
第二个分支
第二个分支是确保将自身复制到Temp文件夹下并修改名为cc.exe文件。
(3)第三个分支
第三个分支
第三个分支的目的是删除文件(C:\temp\cc.exe)
(4)第四个分支
第四个分支
第四个分支的作用是写入注册表,打开Software\Microsoft\Windows\CurrentVersion\Run将以Malware为key,value为C:\Temp\cc.exe。这样就实现了自启动
(5)第五个分支
第五个分支
第五个分支是进行休眠,186A0h转换为10进制就是100000,也就是100s.
(6)defalut缺省分支
缺省分支
我们饿可以看到此分支的目的就是打印一个字符串,具体字符串为:
打印的字符串
5、恶意代码有什么本地特征?
通过以上分析我们知道恶意程序存在注册表本地特征。
6、这个恶意代码的目的是什么?
通过检测本地连接,如果本地有连接那么就连接指定的恶意网址,从中获取指令,其指令可能是创建新的文件夹、复制文件、删除文件、休眠以及打印缺省字符串。

网安幕后推手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战(二)
weixin_45870307的博客
12-05 956
恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 语法为 rundll32.exe DLLNAME,EXPORT ARGUMENTS EXPORT为dll中的函数名或序号. 3.进程监视器 使用process monitor 监控注册表,文件,网络,进程行为 4.使用进程浏览器来查看进程 使用process explorer 可以查看进程
恶意代码Lab03-3分析实验
雩停
03-10 1287
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,结合该章节的内容而设计的,非常值得每一位读者认真练习。但是由于该练习题库在国内网站上并不提供,就算有也是可能需要积分之类,并且还不能保证该题库没有被加载额外的病毒木马。于是我在作者的网站上下载了这一套题库,提供给各位有兴趣的读者。需要特别说明的是,由于该练习题本身就是病毒木马,所以大家一定要在虚拟机的环境下执行,并且在解压缩时会被杀软报毒,也请给位留意。
恶意代码分析实战实验——Labs-05
草草君
09-14 800
恶意代码分析实战实验——Labs-05 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题恶意代码分析实战实验——Labs-05Labs-05-1实验 Labs-05-1实验 1.  DLLmain函数地址是什么?    回答: 0x1000D02E,双击Function name窗口的DLLMain函数即可在主窗口中进行跳转。 2.   使用Import 窗口浏览到gethostbyname,导入函数定位到什么地址
恶意代码分析实战实验——Labs-09
草草君
10-22 976
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 685
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验——Labs-06
草草君
09-28 648
恶意代码分析实战实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战
06-23
恶意代码分析实战 作者:Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)出版社:电子工业出版社出版时间:2014年04月 不管你是否有恶意代码分析的背景和经验,《恶意代码分析实战》极其丰富的内容都将使你获益匪浅。   《恶意代码分析实战》教你如何、以及何时使用恶意代码分析技术,深入掌握恶意代码分析工具的核心功能,从而达到准确诊断、及时突破、快速响应的效果。   《恶意代码分析实战》一经问世,便赢来业内好评如潮,被业内人士一致推荐为入门、晋级的优秀读本。 详尽,经典——每一位认真学习过《恶意代码分析实战》的读者,必将在恶意代码分析的专业技能上获得巨大的提升。 《恶意代码分析实战》是业内公认的迄今为止优秀的一本恶意代码分析指南,《恶意代码分析实战》也是每一位恶意代码分析师都必须作为指导手册珍藏的案头必备。 《恶意代码分析实战》既是一本教材,也是一本动手实践的指南。不仅教会你如何分析恶意代码(技术指导),而且配了大量的实验练习、案例、答案以及详细的分析过程,同时还包含很多用作案例的恶意代码样本,提供了丰富、安全的学习环境。 针对初学者:本书的技术内容、实验作业可以帮你渐入佳境; 针对中级读者:本书大量的分析实践会直接带你进入更高的级别,臻入化境。
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1088
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战实验9-2
qq_43481350的博客
09-01 590
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3553
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 410
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 451
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 716
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 272
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
实战恶意软件分析:病毒木马解析指南
读者将学习如何拆解恶意代码,理解其执行流程,以及如何识别和避免潜在的陷阱。软件调试技巧也在书中占有重要地位,这对于定位和理解恶意行为至关重要。通过这些技能,读者能够追踪病毒和木马的活动,识别它们如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值