恶意代码分析实战1-3

最新推荐文章于 2024-11-19 02:30:00 发布
原创 最新推荐文章于 2024-11-19 02:30:00 发布 · 285 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python

本文介绍了对一个被FSG1.0加壳的程序进行深度分析的过程,通过LinxerUnpacker成功脱壳后,揭示了其由VC++6.0编译的事实。程序导入的特定函数暗示了CUM组件模型的使用。进一步通过Strings工具发现潜在的广告网址ad.html,推测程序可能的功能是显示广告。这个网址作为基于网络的线索,为理解程序行为提供了关键信息。

恶意代码分析实战1-3

image-20210826124137298

问题1

发现60个引擎报毒

image-20210826124625622

问题2

image-20210826124738224

image-20210826124749608

由图可以看出,改文件是FSG1.0进行加壳的,我们用LinxerUnpacker对其进行脱壳image-20210826130059342

脱壳后可以看到该程序是有VC++6.0编译的

image-20210826130114484

问题3

image-20210826130617170

这三个导入函数说明该程序使用了CUM组件模型

问题4

用Strings工具筛选出可打印的字符:

image-20210826130757087

我们从中发现了一个网址,ad.html可能是一个广告网址,所以我们由此猜测刚程序的功能可能是打开一个广告

该网址可以作为基于网络的迹象

恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1451
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
lab1-3 使用通用脱壳工具
qq_55202378的博客
11-02 1072
恶意代码分析
脱壳程序linxerUnpacker
06-15
脱壳程序linxerUnpacker,比较不错的智能脱壳程序,自动查壳解壳!
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03
书山有路勤为径,学海无涯苦作舟
11-19 378
Lab 1-3分析lab01-03.exe文件。
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1637
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课,价值399元-10.5G课程网盘链接提取码下载.txt
最新发布
04-17
春秋学院的恶意代码分析实战课,价值399元。威胁计算机系统安全的领域越来越广泛,其中以恶意代码最为严重。而随着计算机系统安全攻击与防御技术的不断较量,恶意代码的攻击手法、攻击形式也越来越趋于隐秘化、复杂...
恶意代码分析实战》lab1-3
weixin_51588494的博客
03-24 331
答:我没有从程序的导入函数中分析恶意代码的功能是什么。但在沙箱的动态调试,抓包中发现其访问了许多域名,且一些域名在国外。同时,其程序大小特别小只有5kb,字符串等检验工具都无法扫描出信息。如果是这样,这些迹象是什么?如果是,是哪些导入函数,它们会告诉你什。4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?在网上找到了集成脱壳工具,覆盖的面还是挺广的。可以查看,计算机,时候有访问境外以及其他奇怪域名的流量行为。fsg1.0,也是比较基础的加壳,可以使用手动脱壳。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
通用基于虚拟机的脱壳机—linxerUnpacker
08-14
通用基于虚拟机的脱壳机—linxerUnpacker
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战 18 64位
农夫果园好好喝的博客
01-25 914
当你运行这个程序却没带任何参数,它会立即退出。main函数有三个参数入栈,分别是一个整数和两个指针。main函数位于0x00000001400010C0处。你可以通过寻找接受一个整数与两个指针作为输入参数的函数调用定位main函数。字符串oc1.exe存储在栈中。这里对字符串进行了检查,如果在不改变二进制程序文件名的前提下,让这个程序运行。为了不修改可执行程序的文件名就能让这个程序运行有效载荷,你需要修补在0x0000000140001213处的jump指令,将其替换为NOP指令。
恶意代码分析实战Lab03——04.exe(详细分析
4SecNet团队专栏
12-26 1168
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
恶意代码分析实战Lab18
ACdream
08-06 668
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
恶意代码静态分析
qq_41821067的博客
02-23 1160
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 1073
Lab 3-1 使用动态分析基础技术分析在Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
恶意代码分析实战》配套练习题库解析指南
恶意代码分析实战》是一本专注于恶意代码分析实战性教材,由Michael Sikorski与Andrew Honig合著。本书不仅涵盖了恶意代码的基础知识,还提供了大量实战练习,帮助读者通过实际操作来提高分析技能。恶意代码分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值