恶意代码分析实战—实验12-1

最新推荐文章于 2023-05-14 12:45:28 发布
最新推荐文章于 2023-05-14 12:45:28 发布
阅读量442 收藏 2
点赞数 1
分类专栏: 恶意代码检测 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108391668
版权

实验环境:

实验设备环境:windows xp
实验工具:IDAPro,processmonitor,processexplore

实验过程

首先我们采用IDA打开exe程序,进入imports导入函数窗口:
在这里插入图片描述
以上圈出的函数很有可能会是有关于进程注入。
在IDA中查看strings窗口:
在这里插入图片描述
我们会观察到很多不常见的dll文件,可能会和注入有关。
1、在你运行恶意代码可执行文件时,会发生什么?
在这里插入图片描述
我们会看到会弹出来一个窗口,其会一分钟弹出来一次。
2、哪个进程会被注入?
查看IDA:
IDA
可以看到其会调用LoadLibraryA加载psapi.dll文件,解析枚举函数,并将解析出的函数保存在dword_408714中,同理下面调用的那两次。
下面就可以进行名称的修改,这样会更加容易识别:
在这里插入图片描述
继续向下分析:
在这里插入图片描述
这里调用了这个函数,这个函数可以获取系统所有进程的PID值,下面掉用了sub_401000这个函数,点击进入:
在这里插入图片描述
这个进程的目的就是查找当前进程是不是explore.exe进程。
返回上一层,如果说找到此进程的话,就会打开此程序的句柄,获得了句柄以后就可以利用这个句柄操纵这个进程:
在这里插入图片描述
操作过程中调用了VirtualAllocEx函数,调用结束以后一个指向被调用进程的指针就会保存在lpBaseAddress中。
在这里插入图片描述
之后会利用WriteProcessMemory向explore.exe中写入数据,写入的数据就是缓冲区中的数据,缓冲区中的数据经过向上分析我们知道其是系统根目录拼接Lab12-01.dll字符串。
向下使用了GetModuleHandleA以及GetProcAddress两个函数获取LoadLibrary函数的地址,并将其保存在了lpStartAddress中,之后会作为CreateRemoteThread函数的参数被调用,这样就可以强制explore.exe强制运行LoadLibrary这个函数,这个函数会加载Lab12-01.dll文件。
总结来说此程序会在远程进程explore.exe程序中创建一个线程,线程的作用就是调用loadlibrary函数,这个函数会调用Lab12-01.dll,也就是远程注入Lab12-01.dll文件。
3、你如何让恶意代码停止弹出窗口?

利用processexplore软件:
在这里插入图片描述
查找Lab12-01.dll:
在这里插入图片描述
其存在于explore.exe程序里面。
现在我们可以关闭此进程,之后File->Run:
在这里插入图片描述
重新启动此程序。
4、这个恶意代码样本时如何工作的?

在IDA分析Lab12-01.dll:
在这里插入图片描述
其主要调用了**CreateThread**函数,此函数主要参数就是lpStartAddress,点击进入:
在这里插入图片描述
可以看到这个函数也是每隔60秒就会创建一次线程,所创建的线程点击进入:
在这里插入图片描述
可以看到此字符串就是弹出窗口中显示的字符串。

网安幕后推手
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
文档翻译第003篇:Process Monitor帮助文档(Part 3,附Process Monitor的简单演示)
Gleam的专栏
10-28 4116
【导入与导出配置】         一旦您配置了一个筛选器,您可以使用“工具(Tools)”菜单中的“保存筛选器(SaveFilters)”菜单项将其保存。Process Monitor将您所保存的筛选器添加到“读取筛选器(Load Filter)”菜单,便于您能够方便地访问。您也可以选择“工具(Tools)”菜单中的“管理筛选器(Organize Filters)”来打开管理筛选器对话框,以改
ProcessMonitor实现进程文件和注册表监控
最新发布
weixin_38526093的博客
05-14 7031
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
恶意代码分析实战12-01
Yale的博客
09-20 524
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问题: Q1.在你运行恶意代码可执行文件时,会发生什么? Q2.哪个进程会被注入? Q3.你如何能够让恶意代码停止弹出窗口? Q4.这个恶意代码样本是如何工作的? 通过peview载入lab12-01.exe 可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。 再到字符串窗口 可以看到explorer.exe,l
恶意代码分析实战12实验
weixin_41487541的博客
03-04 489
Lab 12-1 首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。 IDA打开Lab12-01.exe分析,程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。 接下来获取Lab12-01.dll所在的完全路径,并将路径存
恶意代码分析实战——vmware--->Dll注入恶意分析
aming小老弟
01-30 866
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
病毒分析教程第二话--动态行为分析
安全杂货铺
07-07 3780
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
process monitor系统进程监视器
qq_24127015的博客
04-15 2413
下载地址: https://download.csdn.net/download/qq_24127015/11116834 介绍 Process Monitor是Windows的高级监视工具,可显示实时文件系统,注册表和进程/线程活动。它结合了两个传统Sysinternals实用程序Filemon和Regmon的功能,并添加了大量增强功能,包括丰富和非破坏性过滤,全面的事件属性,如会话ID...
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1356
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
恶意代码分析实战实验12-2
qq_43481350的博客
09-07 552
实验环境 实验环境:windows xp 实验工具:IDAPro WinHex Resource Hacker 实验过程 首先采用IDA加载实验文件Lab12-02.exe文件,查看导入函数窗口(imports): 可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文;还存在对内存读写操作的API函数;对资源也会有操作。 点击createProcess函数进入被调用的界面: 圈出来的参数为4,代表此进程被创建但是不被执行,除非主进程调用这个函数的时候才会被启动。
恶意代码分析实战实验11-2
qq_43481350的博客
09-02 422
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg,wireshark,WinMD5,strings,processmonitor 实验过程 首先我们可以使用strings查看: 这就说明恶意程序会利用appinit以及注册表永久的安装自身。并且向上分析可以发现,恶意程序可能会对邮件进行一些操作,并且会涉及到网络操作。 1、这个恶意的DLL导出了什么? 可以使用dependency walker查看: 其存在一个导出函数 导入的kernel32.dll文件
用C++做一个特小型恶意程序
Varible的博客
02-17 1908
用C++做一个特小型恶意程序 #include <windows.h> #include <ctime> #include <cstdlib> using namespace std; int x = 0; int main(int argc,char *argv[]) { srand(time(0)); for (;;) { x = rand() % ...
恶意代码分析实战实验7-1
qq_43481350的博客
09-01 281
实验环境 实验设备环境:windows xp 实验工具:PEID,IDAPro 实验过程 首先可以使用PEID来静态分析导入表: 上图可以发现此dll函数会调用一些有关于服务的API函数,说明此程序很有可能会创建一些服务,其中的OpenSCManagerAAPI函数的作用是创建一个到指定服务控制管理器的连接,并且开启这个管理器数据库。保证将服务加入到数据库中。 winnet.dll文件调用了两个有关于网络的API函数,第一个是访问网络连接的URL,第二个是初始化一个到互联网的连接。 下面进行IDA分析
恶意代码分析实战实验6-1
qq_43481350的博客
09-01 266
实验环境 实验设备环境:windows xp 实验工具:IDAPro,strings,PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为 实验过程 首先我们使用PEID查看一下程序是否加壳: 可以观察到exe程序并没有被加壳,查看其导入表发现: 其存在一个InternetGetConnectedState函数,通过查询MSDN(msdn查询函数网址): 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。 下
恶意代码分析实战12-04
Yale的博客
09-20 805
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
利用Python编写Windows恶意代码!自娱自乐!勿用于非法用途!
weixin_33712987的博客
05-14 286
本文主要展示的是通过使用python和PyInstaller来构建恶意软件的一些poc。 利用Python编写Windows恶意代码!自娱自乐!勿用于非法用途!众所周知的,恶意软件如果影响到了他人的生活,那就是违法犯罪。切记,不可用于非法用途!而这一点在windows上有很多方法可以实现,最常见的做法是修改以下注册表 项:“SoftwareMicrosoftWindowsCurrentVers...
实战恶意软件分析:病毒木马解析指南
读者将学习如何拆解恶意代码,理解其执行流程,以及如何识别和避免潜在的陷阱。软件调试技巧也在书中占有重要地位,这对于定位和理解恶意行为至关重要。通过这些技能,读者能够追踪病毒和木马的活动,识别它们如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值