恶意代码分析实战—实验9-2

最新推荐文章于 2022-10-29 23:07:27 发布
最新推荐文章于 2022-10-29 23:07:27 发布
阅读量548 收藏 1
点赞数
分类专栏: 恶意代码检测 文章标签: 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108335174
版权

实验环境:

实验设备环境:windows xp
实验工具:PEID,IDAPro,Ollydbg

实验过程

1、Lab09-03.exe导入了哪些dll?
我们可以通过查找PEID查看导入函数:
导入函数查看
但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下:
交叉引用
我们点击第一个引用函数进入:
引用函数
发现其引用的是dll3.dll文件。
查看第二个引用:
引用函数
其引用的是user32.dll文件。

2、dll1.dll,dll2.dll,dll3.dll要求的基地址是多少?
此问题我们使用PEID查看,进入后点击子系统获得镜像基地址:
镜像基地址
同理dll2.dll,dll3.dll。
3、当使用OD调试exe文件时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么?
使用OD打开此程序之后点击在屏幕上点击M查看当前内存引用情况:
OD加载dll基地址
我们会发现其基地址数值。现在我们使OD跳转到dll3.dll的位置查看其基地址。在IDA中查看dll3.dll的调用位置是:dll3.dll调用位置
即是401041,在OD中跳转至此内存位置,在其下方下断点之后运行,这样dll3.dll才会被载入到程序中,此时我们再点击M,会发现:
dll3.dll载入位置
4、当exe程序调用dll1.dll中的一个导入函数时,这个导入函数都做了些什么?
我们在IDAA中发现exe程序调用的第一个dll1函数是dllprint函数:
调用的第一个函数
现在我们再使用IDA打开dl1.dll文件,在左侧窗口中找到dllprint函数点击进入以后:
点击调用
发现其调用了一个未知函数,进入以后发现其存在两个参数,dllprint函数中的第一个参数是一段字符串,观察这个函数带有%d等字符,所以我们可以认为这个函数就是print打印函数。我们再查看第二个参数位于eax寄存器中,其值取决于 dword_10008030的值,点击进入以后查看其交叉引用:
交叉引用
第一个w标志说明是对这个值进行了写入,点击进入:
写入值查看
我们会发现其写入值就是GetCurrentProcessId函数的返回值,也就是说这个变量保存的就是当前运行进程的ID的返回值。
总结来说dllprint的目的就是打印当前运行进程的ID。
5、当exe文件使用writefile时,写入的文件名是什么?

writefile
根据上图所示,如果我们想要清除writefile的文件句柄,我们就需要扥西DLL2RETURNJ函数,使用IDA打开DLL2文件,因为针对dll2其调用了两个函数,我们都分析一下:
(1)dllprint函数
同样的方法我们查看其交叉引用的w标志函数如下:
交叉引用w函数
此时我们会发现此变量中存储的是temp.txt文件的句柄。也就是说dll2print函数就是打印temp.txt文件的句柄。
(2)dll2returnj函数
函数内部
其目的是将dword_1000B078的值保存起来,保存到eax中。dword_1000B078返回的就是文件句柄。
现在我们返回exe文件的IDA窗口:
eax
这个eax寄存器中返回的就是temp.exe文件的句柄。所以writefile写入的就是temp.txt文件。
6、当exe文件调用NetScheduleJobAdd创建一个Job时,从哪里获取第二个参数的数据?
函数
其在调用结束writefile函数以后会利用LoadLibraryA载入dll3.dll,并且利用GetProcAddress获取dll3print函数的地址,以及DLL3GetStructure函数的地址。
现在我们将DLL3.dll载入到IDA中,查看第dll3print函数,同样的操作查看打印数据的交叉引用,点击进入以后:
(1)dll3print
dll3print函数
其下面调用了MultiByteToWideChar函数,此函数的目的是将字符串转化为宽字符,整个过程就是利用此函数将上面的’ping www.malwareanalysisbook.com’转化为宽字符并保存在WideCharStr中。所以dllprinte打印的就是字符串在内存中的地址。

(2)DLL3GetStructure
引用
我们会发现其将dword_1000B0A0存储在了eax寄存器中值的位置(在exe程序中就是保存在Buffer中),点击进入查看其交叉引用,点击进入:
数据
圈出的数据就是AF_INFO类型的结构体。即第二个参数。
7、如何将dll2.dll加载到IDApro中,使得他与OD使用的加载地址匹配?
首先我们将dll2加载到IDA中:
在这里插入图片描述
在上图中圈出的部分要勾选上,之后就会出现:
函数信息
这个是要输入基地址,我们利用OD查看基地址数据:
OD中dll2地址
可以发现od中的dll2地址为003C0000,在IDA中输入3C0000。此时就完成了基地址的转换。

网安幕后推手
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1690
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1487
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
恶意代码分析实战9-3
Yale的博客
05-27 483
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么 Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么 Q5.当lab09-03.exe调用WriteFile函数时,写入文件名是什么 Q
恶意代码分析实战9-2
Yale的博客
05-27 648
本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下 Q1.在二进制文件中,看到的字符串是什么 Q2当运行这个二进制文件时,会发生什么 Q3怎样让恶意代码的攻击负载(payload)获得运行 Q4在地址0x00401133发生了什么 Q5传递给sub_401089的参数是什么 Q6.恶意代码使用的域名是什么 Q7恶意代码使用什么编码函数来混淆域名 Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么 为了回答第一个问题,直接使用strings.exe查看
恶意代码分析实战实验——Labs-09
草草君
10-22 693
恶意代码分析实战实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
恶意代码分析实战 --- 第九章 OllyDbg
abelxu
05-24 862
Lab 9-1 查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。 字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑 主流程分析 1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件 2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令 打开注册表 LS
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1080
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
恶意代码分析Lab09-03
m1287578441的博客
06-07 334
恶意代码分析Lab09-03
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1843
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1465
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
Lab 9-2
bangren3304的博客
01-24 99
Analyze the malware found in the file Lab09-02.exe using OllyDbg to answer the following questions. Questions and Short Answers What strings do you see statically in the binary? A: The imports a...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3329
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
[恶意代码分析]恶意代码种类以及分析环境介绍
网络安全知识分享
08-06 8654
恶意代码种类以及分析环境介绍1、使用010Editor分析html样本2、使用PETool.exe 分析感染式样本3、使用jd-gui.exe 分析一个蠕虫样本的jar包 1、使用010Editor分析html样本 1、使用010Editor分析html样本 对PE文件进行结构解析 将文件数据拷贝粘贴出来用对应形式 对比文件差异性 向文件插入数据 (2)将样本拖拽到分析工具010Editor.exe中,查看源码形式,找到感染代码 可以将此部分代码以16进制形式拷贝出来 (4)新建一个16进制文件
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1148
恶意代码实战分析
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值