恶意代码分析实战3-3、3-4

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量157 收藏
点赞数
分类专栏: 恶意代码分析实战 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/120189747
版权

Lab3-3

image-20210907081954830

问题1

image-20210907084714700

每次运行该程序都会多一个svchost.exe然后该进程自动结束

问题2

image-20210907084714700

image-20210907084714700

内存字符串和映像字符串不同,说明该程序对内存中的svchost进行了修改

image-20210907154622696

出现上图字符串一般是对键盘进行监听

问题3、问题4

img

该程序在系统中创建了practicalmalwareanalysis.log日志文件,我们打开该文件查看如下:

image-20210907155136715

可以看到该程序对键盘记录的结果

Lab3-4

image-20210908072552315

问题1

文件运行一瞬间后自动结束运行并将自身删除

通过procmon不难发现该程序打开了一个cmd.exe

问题2

因为文件会自动删除,所有无法进行有效的动态分析

问题3

分析能力有限,暂时没有办法执行

Hummer-200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码Lab03-3分析实验
雩停
03-10 1260
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 3992
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战Lab0304
ACdream
02-04 593
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码分析实战—实验3-4
qq_43481350的博客
09-01 313
实验环境 实验设备环境:windows XP 实验工具:PEID,Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征 实验过程 首先我们先利用静态分析工具PEID进行静态分析: 点击子系统之后点击输入表,获得引入的表项如下: 我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏
恶意代码分析实战 Lab 3-4 习题笔记
isinstance的博客
09-05 900
问题1.当你运行这个文件时,会发生什么呢?解答: 一开始我们使用静态分析技术来看看这个文件有文件的操作,也有进程的操作PEiD显示没有加壳资源节也没有藏东西然后看看字符串用ida有一个command.com的网址还有一些应该错误处理函数的输出字符串 最上面的有个注册表的位置是SOFTWARE\\Microsoft\\XPS有一个HTTP的字符串,还有那个恶意网址说明这个程序会联网然后运行看看然后跟
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 836
Lab03-04 使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
Lab 3-3
bangren3304的博客
01-08 144
Execute the malware found in the file Lab03-03.exe while monitoring it using basic dynamic analysis tools in a safe environment. Questions and Short Answers What do you notice when monitoring th...
Lab 3心得
weixin_43910470的博客
06-23 124
1.⽬目标概述 根据实验⼿册简要撰写。 2.实验环境配置 简要陈述你配置本次实验所需环境的过程,必要时可以给出屏幕截图。 特别是要记录配置过程中遇到的问题和困难,以及如何解决的。 在这⾥给出你的GitHub Lab3仓库的URL地址(Lab3-学号)。 https://github.com/ComputerScienceHIT/Lab3-1170300623.git 3.实验过程 请仔细对照实验⼿...
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 542
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加壳操作 利用ollybdg进行手动脱壳 在尝试了一番之后,我发现这个脱完壳后还得进行修复,就搁置在这里。
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 566
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加壳 核心扫描如下: 核心扫描发现upx加壳 发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱壳 dos命令 图形窗口 ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
如何mysql数据导入到mongdb
codemami的博客
05-30 678
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 379
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
Pandas03
Bianca427的博客
05-27 1149
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
深入理解Python中None和““的区别
m0_54701273的博客
05-27 704
Python的世界里,None和空字符串""经常被用作默认值或用于表示缺省值的情况。尽管它们在某些语境下似乎可互换,但实际上None和""在Python中有着根本的区别。
生命在于学习——Python人工智能原理(2.1)
易水哲的博客
05-27 1410
机器学习是指从有限的观测数据中学习出具有一般性的规律。
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值