恶意代码分析实战1-4

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量142 收藏 1
点赞数
分类专栏: 恶意代码分析实战 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/119929952
版权

恶意代码分析实战1-4

image-20210826131626832
image-20210826131640834

问题1

发现58个引擎报毒

image-20210826131613688

问题2

image-20210826131806381

image-20210826131818114

该文件没有被加壳 有VC++6.0编译

问题3

有PETools可以查看该文件是2019年8月30日编译的

image-20210826131921606

问题4

image-20210826132043753

image-20210826132301904

从导入的动态链接函数可以发现该程序具有创建远程线程的功能,还可以打开一个程序,写入文件

image-20210826132418212

这三个函数是提权用的

问题5

用Strings工具进行分析

image-20210826132735336

可以判断该程序具有从该网址上下载程序并执行的功能,同时该程序还会将自身隐藏在系统目录中

该网址可以作为基于网络的迹象

问题6

用source hacker将资源提取出来,保存到桌面上

image-20210826133725168

分析该文件的特征码可知该文件不是dll文件,则一定是一个exe文件

image-20210826133910642

查看该程序的导入表

image-20210826134022584

image-20210826134031355

可以发现该程序的功能是将文件下载下来并执行

Hummer-200
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战Lab01——03&04
sxr__nc的博客
12-21 792
第一步:查看文件是否加壳: 加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中: 第二步:将程序,用IDA打开进行详细分析: 第三步:分析main函数; 可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了: 嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...
恶意代码分析实战实验Lab1的1~4题
weixin_42877778的博客
11-05 706
因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。 实验下载 访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给出具体下载方式链接:下载点击步骤 最终也是转到GitHub中下载:GitHub下载链接 第一章实验 Lab1-1 (1)将恶意代码上传到一个网页并分析查看报告。 .
恶意代码分析实战源码
qq_38393271的博客
03-16 865
** 恶意代码分析实战源码 ** 百度网盘链接:链接:https://pan.baidu.com/s/1jzThUG2Z1ddBwsEHfj5Ukg 提取码:umxz 记得点赞!!!!!
恶意代码分析实战11-2
Yale的博客
05-28 522
本次实验我们将会分析lab11-02.exe文件。先来看看求解答的问题 Q1.这个恶意DLL导出了什么? Q2.使用rundll32.exe安装这个恶意代码后,发生了什么? Q3.为了使这个恶意代码正确安装,Labl 1-02.ini必须放置在何处? Q4.这个安装的恶意代码如何驻留? Q5.这个恶意代码采用的用户态Rootkit技术是什么? Q6.hook代码做了什么? Q7.哪个或者哪些进程执行这个恶意攻击,为什么? Q8. .ini 文件的意义是什么? Q9.你怎样用Wireshark动态抓获这个恶意
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 730
一、实验内容 1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1133
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 566
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加壳 核心扫描如下: 核心扫描发现upx加壳 发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱壳 dos命令 图形窗口 ...
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 542
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加壳操作 利用ollybdg进行手动脱壳 在尝试了一番之后,我发现这个脱完壳后还得进行修复,就搁置在这里。
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 621
Lab1-4 目录 Lab1-4 2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 3.这个文件是什么时候被编译的? ​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战9-1
Yale的博客
05-27 615
本次实验我们将会分析lab09-01.exe。先来看看要求解答的问题 Q1.如何让这个恶意代码安装自身 Q2这个恶意代码的命令行选项是什么 Q3.如何利用ollydbg永久修补这个恶意代码,使其不需要指定的命令行密码 Q4这个恶意代码就有系统的特征是什么 Q5.这个恶意代码通过网络命令执行了哪些不同操作? Q6.这个恶意代码是否有网络特征? 接下来跟着分析流程,我们会依次回答这六个问题。 IDA载入本次实验文件,在main处查看交叉引用,看看是在哪儿调用了main 双击跟入 可以看到是在403945处调
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战.part1
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
如何mysql数据导入到mongdb
codemami的博客
05-30 672
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 377
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
Pandas03
Bianca427的博客
05-27 1141
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
深入理解Python中None和““的区别
m0_54701273的博客
05-27 701
在Python的世界里,None和空字符串""经常被用作默认值或用于表示缺省值的情况。尽管它们在某些语境下似乎可互换,但实际上None和""在Python中有着根本的区别。
生命在于学习——Python人工智能原理(2.1)
易水哲的博客
05-27 1403
机器学习是指从有限的观测数据中学习出具有一般性的规律。
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值