恶意代码分析实战—实验6-4

最新推荐文章于 2023-01-24 20:50:58 发布
最新推荐文章于 2023-01-24 20:50:58 发布
阅读量202 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108306333
版权

实验环境

实验设备环境:windows xp
实验工具:IDAPro,strings

实验过程

首先进行基础的静态分析如下:
我们会发现同之前分析的一样会包含未知网址,网络连接提示字符串以及注册表信息:
strings程序
现在我们开启IDA分析:
1、对比之前的main函数,此程序的main函数中调用之间的区别是什么?什么新的代码结构被添加至了main函数中
循环结构

网安幕后推手
关注
专栏目录
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 420
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 707
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
Windows恶意代码剖析实验
08-01
运用OD(动态分析工具)、IDA(静态分析工具)、PEid(查壳工具)等工具对window恶意代码进行具体分析
恶意代码分析实战实验Lab 6-4
m0_37442062的博客
05-06 631
Lab 6-4静态分析1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?2.什么新的代码结构已经被添加到main中?3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?4.这个程序会运行多久?(假设它已经连接到互联网。)5.在这个恶意代码中有什么新的基于网络的迹象吗?6.这个恶意代码的目的是什么?参考 静态分析 会动态生成Internet Explorer 7.50/pma%d。 导入表 和Lab 06-03.exe中相同 1.在实验6-3和6-4的main函数中的调用之间的
恶意代码分析实战 Lab 6-4 习题笔记
isinstance的博客
09-20 1317
Lab 6-4问题1.在实验6-3和6-4的main函数中的调用之间的关系的区别是什么?解答: 和以前一样,先按照书中的步骤走一遍先是静态分析导入的函数都和Lab 6-3一样字符串的话也基本差不多,都和上一个程序一样,除了这点之外然后这里会出现一个格式输出符%d这是上一个程序里没有的然后会发现这个代码的结构和上三个都不一样我们从开始,这里和原来一样,调用sub_401000,sub_401000返回
恶意代码分析实战 5 分析恶意Windows程序
最新发布
农夫果园好好喝的博客
01-24 1237
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战实验5-1
qq_43481350的博客
09-01 1329
实验环境 实验设备环境:windows XP 实验工具:IDA pro 实验思路 1、掌握IDA Pro基本使用方法 2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用imports窗口并浏览到gethostname的调用,导入函数定位到什么地址? 可以通过点击imports窗口获得信息,双击这个函数就可以获得
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 290
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析实战实验3-3
qq_43481350的博客
09-01 463
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
恶意代码分析-lab6
qq_41810304的博客
08-01 698
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
恶意代码分析实战 Lab 6-2 习题笔记
isinstance的博客
09-13 2916
Lab 6-2问题1.main函数调用的第一个子过程执行了什么操作?解答: 也是一样的,先按照书中的步骤走一遍先是静态分析一下导入的有文件操作的相关函数,和Sleep这个函数然后我们再看下一个导入的DLL会发现这里导入了这些东西,InternetOpenA、InternetOpenUrlA、InternetReadFile这三个函数比较有趣,估计是会打开一个网络里面的URL然后在读取一些东西下来本地
恶意代码分析实验(一)
shannow_123的博客
04-01 1478
记几个简单的恶意代码分析实验 Lab01-02.exe 检验程序是否有壳 发现加了upx壳,我们用工具脱壳 得到文件后将文件拖入IDA反编译 首先查看字符串,发现可疑字符http://www.malwareanalysisbook.com 猜测该网址为恶意网站,该程序的操作为访问该恶意网址 对代码逻辑的详细分析如下: int sub_401040() { SC_HANDLE v0; // es...
恶意代码防范实验-Lab04.exe分析
Lauhoman的博客
06-05 1983
实验目的分析含有恶意代码的程序Lab04.exe。使用软件 PEiD Ollydbg process monitor 7-Zip WinHex 使用所给文件完成以下问题 这些文件何时编译的? 这两个文件是否有迹象被加壳或混淆?证据何在? 是否有导入函数?功能? 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找? 是否有关于网络的恶意代码感染迹象? 1、当你运行该文件时,会发生何种现象?
恶意代码分析实战》第7章 分析恶意Windows程序(课后实验Lab 7)
qq_43443410的博客
08-19 1798
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第7章 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这个程序的基于主机特征是什么?1.4 检测这个恶意代码的基于网络特征是什么?1.5 这个程序的目的是什么?1.6 这个程序什么时候完成执行?Lab 7-2:分析在文件.
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 3110
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码检测实战-第三章实验二(Lab03-02.dll)
qq_43481350的博客
09-01 793
实验环境: 实验设备环境:windows XP 实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot. 实验思路 1、静态分析dll中的特征信息 2、安装dll中的恶意代码 3、监控并分析恶意程序的特征 实验过程 首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下: 我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能
恶意代码分析实战:配套实验代码解析
资源摘要信息:"恶意代码分析实战配套代码" 恶意代码分析是网络安全领域中的一项重要技能,它涉及到对计算机病毒、木马、间谍软件、蠕虫、僵尸网络等多种恶意软件的分析和研究。恶意代码分析的目的在于理解恶意软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值