恶意代码分析实战

最新推荐文章于 2023-01-24 21:09:47 发布
最新推荐文章于 2023-01-24 21:09:47 发布
阅读量220 收藏
点赞数
分类专栏: 恶意代码分析实战 文章标签: windows python c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/119920226
版权

恶意代码分析实战

Lab1-1

image-20210825210935072

问题1

将文件Lab01-01.exe直接上传至http://www.VirusTotal.com 结果如下:
在这里插入图片描述

发现有四十七个报毒

将文件Lab01-01.dll文件上传至http://www.VirusTotla.com 结果如下:

image-20210825210935072

发现四十个报错

综上,证明已经匹配到了病毒软件特征

问题2

用工具PETools查看.exe文件的编译时间:

image-20210825211559257

用工具PETools查看.dll文件的编译时间:

image-20210825211736781

可以看出两个文件编译的时间几乎相同,可以判断是由同一位恶意代码作者编写的

问题3

用PEid用具对.dll文件进行分析

image-20210825211954419

可以分析出该文件是有VC++6.0编译的,所以可以判断出该文件未加壳

.exe文件同理

image-20210825212129504

问题4

用工具dependency worker分析导入和导出函数如下

image-20210825212442480

dll文件导入了WS2_2DLL函数库说明该文件需要连接网络

image-20210825212934547

exe文件导入了FindFirstFile和FindNextFIle函数,可以对文件系统进行搜索

问题5

用strings工具查看exe文件中可打印的字符

image-20210825213253251

.exe文件说明该文件可能是在文件系统中搜索某个可执行文件

kerne132.dll可能是为了隐藏文件而设计的文件名 可以作为基于主机的迹象

问题6

用strings工具查看dll文件中可打印的字符

image-20210825213548505

该网址可能是网络连接的恶意网站 可以作为基于网络的迹象

问题7

综上所述,该文件在文件系统中搜索某个exe文件,将自己伪装成系统文件,并连接网络,可能是一个提供连接的后门

Hummer-200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1003
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1076
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1208
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战》实验——Labs-14
草草君
04-21 355
恶意代码分析实战》实验——Labs-14 记录《恶意代码分析实战》中的实验,相关链接: 电子书的下载 标题《恶意代码分析实战》实验——Labs-14Labs-14-01实验静态分析:IDA分析动态分析搭建HTTP服务进行动态分析问题Labs-14-02实验静态分析:IDA分析动态分析问题Labs-14-03实验静态分析:IDA分析问题 Labs-14-01实验 样本:Lab14-01.exe 静态分析: 查壳——无壳 查看输入表—— Kernel32.dll:睡眠,创建终止进程,加载库文件等函数
恶意代码分析实战12-01
Yale的博客
09-20 490
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问题: Q1.在你运行恶意代码可执行文件时,会发生什么? Q2.哪个进程会被注入? Q3.你如何能够让恶意代码停止弹出窗口? Q4.这个恶意代码样本是如何工作的? 通过peview载入lab12-01.exe 可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。 再到字符串窗口 可以看到explorer.exe,l
恶意代码分析实战Lab1
weixin_47038938的博客
01-25 4522
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本下载链接: https://practicalmalwareanalysis.com/ 1.点击Labs 2.点击Download NOTE: We provide a self-extracting archive and an encrypted
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1418
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1234
恶意代码分析实战Lab03-01.exe
恶意代码分析实战 9 隐蔽的恶意代码启动
农夫果园好好喝的博客
01-24 1566
查看程序的导入函数。通过这几个函数,可以推断出是远程线程注入。使用ProMon检测,并没有看到什么有用的信息。使用Proexproer检查。也没有什么有用的信息。拖入IDA中分析一下。将这几个字符串重命名,便于识别。该程序是一个对于PID的遍历。这个函数的作用是检查是否存在explorer.exe这个程序。Buffer表示的字符串是Lab12-01.dll.这段代码所表示的就是对explorer.exe程序进行注入。
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 624
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值