恶意代码分析实战1-3

最新推荐文章于 2024-08-31 21:39:38 发布
最新推荐文章于 2024-08-31 21:39:38 发布
阅读量194 收藏 1
点赞数
分类专栏: 恶意代码分析实战 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/119929911
版权
本文介绍了对一个被FSG1.0加壳的程序进行深度分析的过程,通过LinxerUnpacker成功脱壳后,揭示了其由VC++6.0编译的事实。程序导入的特定函数暗示了CUM组件模型的使用。进一步通过Strings工具发现潜在的广告网址ad.html,推测程序可能的功能是显示广告。这个网址作为基于网络的线索,为理解程序行为提供了关键信息。
摘要由CSDN通过智能技术生成

恶意代码分析实战1-3

image-20210826124137298

问题1

发现60个引擎报毒

image-20210826124625622

问题2

image-20210826124738224

image-20210826124749608

由图可以看出,改文件是FSG1.0进行加壳的,我们用LinxerUnpacker对其进行脱壳image-20210826130059342

脱壳后可以看到该程序是有VC++6.0编译的

image-20210826130114484

问题3

image-20210826130617170

这三个导入函数说明该程序使用了CUM组件模型

问题4

用Strings工具筛选出可打印的字符:

image-20210826130757087

我们从中发现了一个网址,ad.html可能是一个广告网址,所以我们由此猜测刚程序的功能可能是打开一个广告

该网址可以作为基于网络的迹象

Hummer-200
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳程序linxerUnpacker
06-15
脱壳程序linxerUnpacker,比较不错的智能脱壳程序,自动查壳解壳!
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1269
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
lab1-3 使用通用脱壳工具
qq_55202378的博客
11-02 732
恶意代码分析
通用基于虚拟机的脱壳机—linxerUnpacker
08-14
通用基于虚拟机的脱壳机—linxerUnpacker
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码静态分析
qq_41821067的博客
02-23 964
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
恶意代码分析实战Lab18
ACdream
08-06 545
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 921
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 969
Lab 3-1 使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
恶意代码分析实战Lab03——04.exe(详细分析
sxr__nc的博客
12-26 1018
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
centos7 安装 superset4.0.2 教程
m0_37759590的博客
08-27 9770
centos7 安装 superset4.0.2 教程
python12 中,No module named‘distutils‘错误
热门推荐
qq_43557600的博客
08-27 1万+
python12 “ No module named'distutils' ”,​ 安装 pip install setuptools ,解决 ​
CSS解析:定位和层叠上下文
最新发布
晓风残月淡的博客
08-31 989
许多开发人员对定位的理解很粗略,如果不完全了解定位,就很容易给自己挖坑。有时候可能会把错误的元素放在其他元素前面,要解决这个问题却没有那么简单。一般的布局方法是用各种操作来控制文档流的行为。定位则不同:它将元素彻底从文档流中移走。它允许你将元素放在屏幕的任意位置。还可以将一个元素放在另一个元素的前面或后面,彼此重叠。
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值