恶意代码分析实战lab12-4

于 2022-07-11 07:43:02 发布
阅读量231 收藏
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49243247/article/details/125147699
版权
这篇博客详细分析了一个恶意代码样本,它监控并篡改了Windows系统中的wupdmgr.exe,将其移动到临时文件夹并重命名为winup.exe。代码注入winlogon.exe进程中,利用sfc_os.dll的函数执行恶意操作,包括下载并执行wupdmgrd.exe,可能存在隐蔽的更新机制。
摘要由CSDN通过智能技术生成


## 监控分析
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/1.png)
大量windowsAPI,这其中对进程和资源节操作
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/2.png)
这里边发现在system32下的非windows自带的wuodmgrd.exe文件
最下边还有一个网址,估计是下载updater.exe
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/3.png)
四个资源节名称作为字符串反复出现,所以去resource hacker里看看文件资源节
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/4.png)
Ida里那么多代码,资源节里这么空明显是被认为修改过,将资源节导出待用
![](https://github.com/qwer597/123456aaa/blob/main/lab12-4/5.png)
我们发现在system32下打开wupdmgr.exe,这是windows自动更新的程序
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/6.png)
而且在system32下写入psapi.dll
![](https://raw.githubusercontent.com/qwer597/123456aaa/main/lab12-4/7.png)
经过MD5比对样本的代码段资源就是wupdmgr.exe,可见wupdmgr.exe被篡改

## 反汇编分析
![](http

最低0.47元/天 解锁文章
瘦马嘶风烈
关注
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1600
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战Lab1204
ACdream
06-08 325
GetModuleBaseName:获取文件进程完整路径EnumProcesses:检索进程中的每一个进程标识符。带三个参数,DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 pBytesRrturned,它接收返回数据的长度。DWORD 数组用于保存当前运行的进程 IDs。pBytesRrturned 返回数组所用的内存大小这里就需要根...
恶意代码分析实战12-04
Yale的博客
09-20 822
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析实战12章实验
weixin_41487541的博客
03-04 505
Lab 12-1 首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。 IDA打开Lab12-01.exe分析,程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。 接下来获取Lab12-01.dll所在的完全路径,并将路径存
恶意代码分析实战12-01
Yale的博客
09-20 538
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问题: Q1.在你运行恶意代码可执行文件时,会发生什么? Q2.哪个进程会被注入? Q3.你如何能够让恶意代码停止弹出窗口? Q4.这个恶意代码样本是如何工作的? 通过peview载入lab12-01.exe 可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。 再到字符串窗口 可以看到explorer.exe,l
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 706
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 680
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1122
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1367
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
恶意代码分析实战Lab0304
ACdream
02-04 648
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码分析实战 Lab19
baidu_41108490的博客
06-10 806
lab19-011IDApro打开看到解码代码如下od调试的时候显示说无法作为及时调试器调试,所以只能用windbg,虽然麻烦了点解码后程序先跳到003a0464接着在464处,马上调用003a03bf函数步入查看程序又调用003a039e函数步入查看函数,这段函数很短,可以很容易看出来是在得到kernel32的base地址,看30h是的搭配peb结构地址,1ch是得到InInitializati...
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1538
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战 第十二章课后实验
Stronger_99的博客
04-18 714
静态分析: 使用ida打开Lab12-01.exe,打开imports,如下: 这里看到了CreateRemoteThread、WriteProcessMemory和VirtualAllocEx,看到这几个函数就有理由怀疑这是一个进程的注入行为。 看一下字符串,打开strings窗口: 这里看到了几个可以的dll文件,explorer.exe、Lab12-01.dll和psap...
Lab12-04恶意样本分析--更新下载器分析
LoopherBear的博客
05-21 383
恶意样本分析–更新下载器分析 这个样本是一个更新模块,运行程序后会自动下载相关的模块并且自动运行。 现象 程序运行后,启动了浏览器,同时看到创建了一个名为wupdmgr.exe的进程 由于我的环境设置了过了,网络没有打开,之后进程wudpmgr.exe会自动退出 分析 分析母体 使用ida打开样本后,首先获取EnumProcessModules,GetModuleBaseNameA,EnumProcess三个APIs的函数指针 接着调用EnumProcess函数枚举进程并调用sub_401000查找目标
恶意代码分析实战 Lab 1-2 习题笔记
isinstance的博客
08-25 2941
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?解答: 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请进行脱壳,如果可能的话。解答: 因为这个我是看过一遍书才来看这些题目的,所以,可能刚开始看这本书的同学会有些不理解,没事,慢
恶意代码分析实战(开坑) LAB1[含实验链接]
Peanuts
04-01 1886
恶意代码分析实战-实验 lab1-1 网站报告分析 上传分析www.virustotal.com pe工具使用分析时间 使用petools工具查看 查壳分析 利用PEID工具查看 调用的函数分析 lab1.exe调用了FindFirstFile``FindNextFile``CopyFile 很有可能病毒在搜索并且尝试复制文件。 查看dll文件,此处调用了CreateProcess``S...
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1928
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 Lab14
baidu_41108490的博客
06-04 2399
1程序使用URLMON.dll库注意到存在base相关字符串2程序调用GetcurrentHwProfile得到计算机硬件配置信息,返回值如下图接着getusername得到当前用户名,看到返回结果位Administrator上面两个就是构建网络信令的信息源元素他们最终构造如下图的字符串然后这个字符被作为参数传递给sub_4010BB函数函数在内部调用sub_401000函数,由base字符串查看...
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值