恶意代码分析实战—实验12-3

最新推荐文章于 2021-09-20 17:00:16 发布
最新推荐文章于 2021-09-20 17:00:16 发布
阅读量193 收藏
点赞数
分类专栏: 恶意代码检测 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43481350/article/details/108447430
版权

实验环境

实验设备环境:windows xp
实验工具:IDAPro

实验过程

首先我们采用IDA导入文件,查看imports窗口:
在这里插入图片描述
其调用了系统设置钩子函数,这个函数允许进程挂钩,也允许监控进程的API函数。
回到反汇编窗口,反汇编窗口中来到SetWindowsHookExA函数周围,其idhook参数表明此钩子是哪一种钩子,查看MSDN可以获知D用来监控键盘消息,lpfn是hook地址,fn启动了键盘监控,fn函数会接收击键记录。
接下来调用了getmessageA函数,此函数一定要调用,因为windows不会主动发送消息给进程函数。
此文件目的就是记录键盘信息,获知击键信息

网安幕后推手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1561
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
硬件安全恶意代码: Linux Hooking(钩子)机制原理与实现
This is Ptero
04-10 2173
Hooking简介 Hooking技术是一系列技术的通称,通过拦截在软件构件之间传递的 函数调用(function calls)/信息(messages)/事件(events) 来改变OS, 应用(application)或者其他软件构件的行为. 譬如改变准备调用的函数指针使之指向需要的hook函数,在执行了hook函数之后再返回原来的函数指针。 当我们试图用一段代码来分析程序中某段逻辑路径被执行...
利用钩子技术控制进程创建
fxpopboy的博客
12-30 888
一、 简介  最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个自己的实
恶意代码分析实战12-03
Yale的博客
09-20 403
本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题 Q1.这个恶意负载的目的是什么? Q2.恶意负载是如何注入自身的? Q3.这个程序还创建了哪些其他文件? 首先使用IDA载入文件 在imports窗口中看到了SetWindowsHookExA,这个函数可以用于应用程序挂钩或者监控windows内部事件 切换到view-a 在040105b处调用了SetWindowsHookExA 第一个参数idHook的值是0Dh,通过MSDN可知对应的是WH_KEYBOARD_LL,可知安装这
恶意代码分析实战实验7-1
qq_43481350的博客
09-01 279
实验环境 实验设备环境:windows xp 实验工具:PEID,IDAPro 实验过程 首先可以使用PEID来静态分析导入表: 上图可以发现此dll函数会调用一些有关于服务的API函数,说明此程序很有可能会创建一些服务,其中的OpenSCManagerAAPI函数的作用是创建一个到指定服务控制管理器的连接,并且开启这个管理器数据库。保证将服务加入到数据库中。 winnet.dll文件调用了两个有关于网络的API函数,第一个是访问网络连接的URL,第二个是初始化一个到互联网的连接。 下面进行IDA分析
恶意代码分析实战实验5-1
qq_43481350的博客
09-01 1262
实验环境 实验设备环境:windows XP 实验工具:IDA pro 实验思路 1、掌握IDA Pro基本使用方法 2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用imports窗口并浏览到gethostname的调用,导入函数定位到什么地址? 可以通过点击imports窗口获得信息,双击这个函数就可以获得
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
恶意代码检测实战-第三章实验二(Lab03-02.dll)
qq_43481350的博客
09-01 757
实验环境: 实验设备环境:windows XP 实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot. 实验思路 1、静态分析dll中的特征信息 2、安装dll中的恶意代码 3、监控并分析恶意程序的特征 实验过程 首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下: 我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能
恶意代码分析实战实验9-2
qq_43481350的博客
09-01 579
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战实验11-3
qq_43481350的博客
09-03 561
实验环境: 实验设备环境:windows xp 实验工具:UltraCompare,IDAPro,Ollydbg,WinMD5,strings,processmonitor 实验过程 1、使用基础的静态分析过程,那你可以发现什么有趣的线索? 我们可以使用strings查看目标程序: ...
恶意代码分析实战实验12-2
qq_43481350的博客
09-07 550
实验环境 实验环境:windows xp 实验工具:IDAPro WinHex Resource Hacker 实验过程 首先采用IDA加载实验文件Lab12-02.exe文件,查看导入函数窗口(imports): 可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文;还存在对内存读写操作的API函数;对资源也会有操作。 点击createProcess函数进入被调用的界面: 圈出来的参数为4,代表此进程被创建但是不被执行,除非主进程调用这个函数的时候才会被启动。
恶意代码分析实战实验7-3
qq_43481350的博客
09-01 476
实验环境 实验设备环境:windows xp 实验工具:strings,IDAPro,Dependency Walker,Process Monitor 实验过程 首先可以使用strings查看: lab07-03.exe文件: 我们可以发现有两个kernel32.dll但是实际上第一个是kerne132.dll。下面存在exe文件后缀,那么就说明很有可能是针对系统的所有exe文件进行一定的操作。接下来看到了kerne132.dll的路径,那么就说明此路径是程序创建假的kernel32.dll的路径。 下
恶意代码分析实战实验12-1
qq_43481350的博客
09-03 441
实验环境: 实验设备环境:windows xp 实验工具:IDAPro,processmonitor,processexplore 实验过程 首先我们采用IDA打开exe程序,进入imports导入函数窗口: 以上圈出的函数很有可能会是有关于进程注入。 在IDA中查看strings窗口: 我们会观察到很多不常见的dll文件,可能会和注入有关。 1、在你运行恶意代码可执行文件时,会发生什么? 我们会看到会弹出来一个窗口,其会一分钟弹出来一次。 2、哪个进程会被注入? 查看IDA: 可以看到其会调用Lo
恶意代码分析实战实验3-3
qq_43481350的博客
09-01 420
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
恶意代码分析实战实验9-1
qq_43481350的博客
09-01 420
实验环境: 实验设备环境:windows xp 实验工具:strings,IDAPro,Ollydbg,Process explore 实验过程 使用strings进行静态分析: 我们可以看到此字符串中包含有一些网络连接函数以及创建线程的API函数。 接下来我们采用OD结合IDA的方式进行分析: 但是由于OD无法准确的定位到main函数开始的位置,所以需要采用IDA确定函数开始执行的位置: 在这里我们可以看到main函数的地址为:00402AF0,现在我们可以在OD中跳到这个地址: ...
实战恶意软件分析:病毒木马解析指南
读者将学习如何拆解恶意代码,理解其执行流程,以及如何识别和避免潜在的陷阱。软件调试技巧也在书中占有重要地位,这对于定位和理解恶意行为至关重要。通过这些技能,读者能够追踪病毒和木马的活动,识别它们如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值