实验Lab06

最新推荐文章于 2024-05-30 11:43:13 发布
最新推荐文章于 2024-05-30 11:43:13 发布
阅读量360 收藏 3
点赞数
分类专栏: 恶意代码分析实战 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/120850752
版权

文章目录

Lab6-1

在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。

问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么?

首先进行静态分析。

通过上图标记的几个函数发现,该程序可能会联网。

接下来进行动态分析。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UEZCorE9-1634635502622)(E:\学习笔记\我的坚果云\恶意代码分析实战\实验Lab06.assets\image-20210918172546995.png)]

运行发现打印输出了"Internet Connection"字样,并没有什么有意思的东西。

将该程序加载到IDA Pro中进行分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZK6JPoHM-1634635502625)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQe0JYYALNjqEyVXZ6zKH6*EhMd.aD4jXl34*dWTeipkbPMbzHOOqvTepQEEM*ZHrWPlzIjoHtGGePwuvKojizQ!/b&bo=AAT.AQAAAAADF8k!&rf=viewer_4)]

函数main的唯一调用是函数 sub_401000,进入查看如下图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hAvoTsuH-1634635502629)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQe0JYYALNjqEyVXZ6zKH68IFbK40HlYhEFptG1j2S5oF3QnAZLsjsXW5Ft3Xr2mZl*0eDSqKwUsXT*TMTPvu*U!/b&bo=6QXfAQAAAAADFwA!&rf=viewer_4)]

该函数调用了InterGetConnectedState,用于测试网络连接的状态,当存在可用连接时,返回1,否则返回0。在函数sub_401000中,将InterGetConnectedState的返回结果与0进行比较,如果相等,说明无可用连接,否则有可用连接。因此,main的唯一调用采用的是if结构。

2.位于0x40105F的子过程是什么?

对于初学者来讲,函数0x40105F处的函数里面过于混乱,我们可以通过简单的分析在函数调用前压入栈的参数和函数的返回值来大致猜测该函数的功能。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FMZiqADq-1634635502631)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQe0JYYALNjqEyVXZ6zKH69.dFzHWHNNTd.iVdOMQsjxzGOgM3bsVBgM91EfjY8e3N1ryYFawq6L27sWc2JYkKc!/b&bo=IgWOAQAAAAADF5o!&rf=viewer_4)]

不难发现,该函数在两处调用前都分别将字符串压入栈,且字符串的结尾都是"\n",我们可以猜测该函数的功能就是 printf打印。

3.这个程序的目的是什么?

通过前面的分析我们可以得出结论:该程序的目的是检查是否存在一个可用的Internet连接。

Lab 6-2

分析在文件Lab06-02.exe中发现的恶意代码。

问题

1.main函数调用的第一个子过程执行了什么操作?

先进行静态分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jVuzevSu-1634635502632)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mce1fY7r50ajW81UjJjbUT50iootclzcBSTNw8lhAVHTVXRryOI0XPbC73Gy2mlCrHXh0b.6*RKkg6JuxuC1Dkxg!/b&bo=kQPMAAAAAAADF2w!&rf=viewer_4)]

发现该程序调用了打开URL的函数,可以猜测该程序也会进行相应的网络连接。

查看字符串发现该程序的功能可能和Lab06-01.exe功能相似,但是多了一个URL

尝试运行改程序,发现该程序对某个网站尝试进行了连接

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MdKvYw7O-1634635502634)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mce1fY7r50ajW81UjJjbUT51CPEe.PqU9kzrll69blEz3YCvxj325e624uStGKJDpoQrz6vlgybAkyjKMfIuCGYk!/b&bo=eALVAAAAAAADF50!&rf=viewer_4)]

通过ApateDNS我们可以了解到该程序试图连接到下图中国第二个网址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lHbo3JWR-1634635502635)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRCQtH5C305DK95nk36jjrftRW9htkQuF8tiEiF24rjrAeb*vFfl4leBlsI*YPYZrFncmtGfN9B4*X97IZsBqbc!/b&bo=KQPIAAAAAAADF9A!&rf=viewer_4)]

接下来将该文件加载到IDA Pro中进行分析

进入main调用的第一个子过程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fPADIxPo-1634635502638)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRCQtH5C305DK95nk36jjrcFrACmHD23DNWDud4E6dZG5xo.nQUJL2y.frgj8Dhw6Thko055Se1gy63UeWH6BWk!/b&bo=KAPjAQAAAAADF*s!&rf=viewer_4)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ORFaLu2B-1634635502639)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRCQtH5C305DK95nk36jjrcAcZHx57P5gGnlZx7OH47X3iClvoNokB5Z.74KFEYzhPVfKhy3DUlwWin8q2clGmg!/b&bo=CgPYAAAAAAADF.M!&rf=viewer_4)]

发现了和Lab06-01.exe中相同的函数,基本可以断定,该子过程的功能就是判断是否存在可用的链接了。

2.位于0x40117F的子过程是什么?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WkdoTqSW-1634635502640)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRCQtH5C305DK95nk36jjrd4o3qSzmc7rO9xi8Sjk0W.t*p8NKc*rrpOsPVMWfS4QU2k6FiWNy6hvhnhsb19ueU!/b&bo=TwUwAQAAAAADF0k!&rf=viewer_4)]

和Lab06-01.exe类似,该子过程的功能是printf打印。

3.被main函数调用的第二个子过程做了什么?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vx26nM8k-1634635502641)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcWHaC75LNSL.f.SoGL.V102enAThcbVYHpYdFS6cwkyHYWaxooo0YlZwT941eM6wTwubCmQHZBe23tVeOileUyM!/b&bo=zgIuAQAAAAADF9E!&rf=viewer_4)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CeV2dDQW-1634635502642)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcWHaC75LNSL.f.SoGL.V101x1Sdv17T6dmqONokFuGAqSkDgaQC4ZngEIa2jkGGVnxljJ7DpwnIwTBgUZ9gSPTk!/b&bo=xwH4AAAAAAADFww!&rf=viewer_4)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GIE1RuEb-1634635502643)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcWHaC75LNSL.f.SoGL.V103F52exMHhGixGGd9fLlWikjpAm4Lfba3RUyYaTdU6KEMF6NZ7MLiblkJJkLmVeoVA!/b&bo=HAKvAAAAAAADF4M!&rf=viewer_4)]

被main函数调用的第二个子过程是sub_401040,该子过程调用了如下函数:

InternetOpenA:用于初始化WinNet库,并设置用于HTTP通信的User-Agent字段

InternetOpenUrlA:使用一个完整的FTP或者HTTP的URL打开一个句柄。

InternetReadFile:从InternetOpenUrlA打开的句柄中读取数据

InternetCloseHandle:用于关闭已经打开文件的句柄。

从以上函数可以大致猜测该子过程的作用是连接到一个网址:www.practicalmaiwareanalysis.com

4.在这个子过程中使用了什么类型的代码结构?

使用了分支结构,将InternetReadFile返回的数据填充到一个字符数组中,然后逐个字节进行解析

5.在这个程序中有任何基于网络的指示吗?

有两条网络特征:

Internet Explorer 7.5/pma作为User-Agent字段

http://www.practicalwareanalysis.com/cc.html下载了HTML页面

6.这个恶意代码的目的是什么?

该程序首先判断是否存在一个可用的网络连接,如果存在,就利用一个独特的用户代理尝试下载一个网页,如果不存在可用连接,则终止运行。

Lab 6-3

在这个实验中,我们会分析在文件Lab06-03.exe中发现的恶意代码。

首先进行静态分析:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SzhGiQAX-1634635502643)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcWHaC75LNSL.f.SoGL.V10161*OvCXU3q8aeXCP1m2nPg5LzoOpP8gwDRrXD3Oh1Ohpzxlljip5yO08RXdwTjmY!/b&bo=CQI6AQAAAAADFwI!&rf=viewer_4)]

PEid发现该文件并没有加壳

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FfCzqVdn-1634635502644)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRdbIkr9.hQbnXnlnLY8u1jDUdb6YYYjOr14jU8VwjDIdnnb2RB2qlsMMVTtkmQAdKsBDoES.1DqMvjrvmm7vcE!/b&bo=DwOTAQAAAAADF6w!&rf=viewer_4)]

导入函数中发现了创建目录函数和删除文件函数

WinNet.dll中标注(上图)的函数说明该文件可能与Lab06-02.exe具有类似的功能

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O86wDviG-1634635502645)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcRdbIkr9.hQbnXnlnLY8u1i9PLDH8*tigrOfS1sBLW2ucAn*hM*4t8.Yxmd8yoDozNJcWv7NKOzSSzK5omh3iZM!/b&bo=oAJSAQAAAAADF8M!&rf=viewer_4)]

上图为查看字符串的结果,发现了cc.html的网址和写入文件的函数

至此我们不难推断出该文件的功能与Lab06-02.exe功能相似:从下载上述网页并保存在本地文件中,其中可能会涉及到目录的相关操作

问题回答:

1.比较在main函数与实验6-2的main函数的调用。从main中调用的新的函数是什么?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Yzv4zCLb-1634635502646)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcTiqdd*78t8TrBVchGe.OZ2CioVj5B4ht.hHo5IlOARhAaYqtJwG6ROhB*WWwcnlKxePydR3rAKexTCqg4iPstM!/b&bo=hgKFAQAAAAADFzI!&rf=viewer_4)]

经过比较发现sub_401130函数是多出来的一个

2.这个新的函数使用的参数是什么?

这个函数共有两个参数,第一个为eax的内容,注释告诉我们是程序名,第二是ecx(cl)的内容,也就是var_8,var_8通过al设置,al又是sub_401040函数的返回结果,该函数返回的是从http网页上下载数据的结果

3.这个函数的主要代码结构是什么

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xteIxctt-1634635502647)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcTiqdd*78t8TrBVchGe.OZ19EiG*P7qJ0bSyg4K57kNdSjGFVgRI7je40qoVeDQyPLONgpCb1FAt*gCkoDHqH0M!/b&bo=UgRdAgAAAAADFzs!&rf=viewer_4)]

通过注释,switch,case0,case1等字符可以大致判断该代码的结构是switch分支结构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MplQyj2H-1634635502647)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcTiqdd*78t8TrBVchGe.OZ0qBuy7R6PbNr6v.gWhHzXncu2mDOuAqe06TgejnDZQsh9lHuI0h1.maeAtX6FbytI!/b&bo=rwNKAgAAAAADF9Y!&rf=viewer_4)]

该代码中,将var_8的值,也就是解析html文件的结果减去61h(a),再与0,1,2,3,4五个数字比较,分别跳转到响应的代码区,如果不是这五个数字则执行default部分

4.这个函数能够做什么?

case0:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mJwBxP75-1634635502648)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcTiqdd*78t8TrBVchGe.OZ1Y5RJvZXyk11wHYVrKVaClA7NXdPgodN7*je9AzBxilfdT*M3jzsca3M.kOzKrzG0!/b&bo=UgLIAAAAAAADF6o!&rf=viewer_4)]

这个分支的作用是创建一个目录:C:\\Temp

case1:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f9M0NIL8-1634635502649)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcV5mL9XnG.HSifarr9Y*LCe0duwJ*pRpjHbXqIs*yyDwnyPL3pcLBhQGp2lYuR1F0NfqW5HGyvtFONgcR7.RKbM!/b&bo=SALxAAAAAAADF4k!&rf=viewer_4)]

这个分支的作用是文件拷贝:即将Lab06-03.exe这个文件拷贝到C:\\Temp\\cc.exe这个地址

case2:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IqQ2Q6dp-1634635502649)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcV5mL9XnG.HSifarr9Y*LCfqBuRDEhfwGNso0uGviK9UA99kOGDafw9NuKnkOawCJZ2D002tCaB6fcp96R.Wnts!/b&bo=SgKJAAAAAAADF*M!&rf=viewer_4)]

该分支的功能是删除一个文件,文件的地址保存在Data中,双击Data:发现文件的路径为:C:\\Temp\cc.exe,所以这个分支的功能是删除C:\\Temp\\cc.exe文件

case3:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2qOjswXp-1634635502650)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQn7RCAfSRg2sj5oOJIX5AihIIcEvCDdZn0coBTkZZLTwb8n.MPgFIcMIGer5qy.yq0K*7EjfAOZf.5T5i9gtt0!/b&bo=gQKaAQAAAAADFyo!&rf=viewer_4)]

这个分支的功能是将C:\Temp\cc.exe这个文件写入自启动注册表中

case4:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WQOwQTj7-1634635502652)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQn7RCAfSRg2sj5oOJIX5AgsO4KFU0IK6QkTiyeQvYZbQS.IuV6EWuNL56EFXAdlZFjh8jSz4ulcy.vVsGl90WA!/b&bo=3AGMAAAAAAADF2M!&rf=viewer_4)]

这个分支的功能是睡眠100秒

default case:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hlJTMr9h-1634635502653)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcQn7RCAfSRg2sj5oOJIX5Ai7dUzp5R1qRCs5nWjgy7qtipRdYlx7lTTRY3ZXvc6WQ2JOIYPRi2foTvuSoaQr5Io!/b&bo=DAJ.AAAAAAADF0I!&rf=viewer_4)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wKMKrS9S-1634635502655)(http://m.qpic.cn/psc?/V51ZcEK70skGhO47QjGk0t0eB51RwZkI/45NBuzDIW489QBoVep5mcb8ePk2Kba*b4XSafHFGUx6I.TXzI1XARAvabeCk5fpVkLgaDcspzl2*uKg1MizDzaObX6fMXPupNcwacXyStnA!/b&bo=ogLmAAAAAAADF3Q!&rf=viewer_4)]

这个分支的功能是执行函数sub_401271,由上面分析我们已经知道,函数sub_401271的功能就是printf功能,打印的内容存在aError32NotAVal字符串中,双击我们就可以发现字符串的内容了

5.在这个恶意代码中有什么本地特征吗?

由问题4我们可以知道,这个恶意代码有两个本地特征,第一个是在case3中出现的自启动注册表:Software\\Microsoft\\Windows\\CurrenVersion\\Run

另一个就是文件拷贝的目录:C:\\Temp\\cc.exe

6.这个恶意代码的目的是什么?

这个恶意程序的功能如下:

①判断是否存在一个可用的网络连接,如果不存在,返回错误信息。

②如果存在网络连接,从给定网址中下载一个网页,并根据不同的返回信息执行响应的分支功能。

③分支的功能包括:创建目录,拷贝文件,删除文件,添加自启动,睡眠100秒,返回响应的错误信息

Lab 6-4

在这个实验中,我们会分析在文件Lab06-04.exe中发现的恶意代码。

1.在实验6-3和6-4的main函数中的调用之间的区别是什么?

image-20211019164946721

由函数总览我们可以发现main函数中多了循环结构

2.什么新的代码结构已经被添加到main中?

循环结构

3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?

image-20211019165125091

首先,这个函数和Lab06-03.exe相比多了一个参数,在main函数中不难发现,解析HTML函数的唯一一个参数就是main函数中循环的计数器。在这个函数中,计数器和一个字符串:Internet Explorer 7.50/pma%d组合在一起存在缓冲区里,作为下一个函数InternetOpenA函数的参数,也就是说,这个函数利用了动态生成的User-Agent来打开一个网络连接。

4.这个程序会运行多久?(假设它已经连接到互联网。)

image-20211019170626564

由上图可知,var_C即循环的计数器初值为0,当小于等于5A0h(换为十进制:7440)时结束循环

image-20211019170833263

在循环体中调用了sleep函数,函数的参数为60000毫秒,也就是一分钟。综上所述,该程序共执行1440次,每次耗时一分钟,也就是1440分钟即24小时。

5.在这个恶意代码中有什么新的基于网络的迹象吗?

image-20211019171020911

这个恶意代码基于网络的迹象有两个,分别是动态生成的User-Agent和下载并解析的URL

6.这个恶意代码的目的是什么?

这个恶意代码首先会判断是否存在一个可用的网络连接,如果存在,则对如下操作进行循环:

尝试下载指定的网页,并对第五个字符进行解析,根据解析的结果分别进行不同的文件操作

共循环1440次,并在24小时后结束程序。

Hummer-200
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)
maluxiao123的博客
10-19 1286
恶意代码分析实战,Lab05-01.dll
北航操作系统实验lab
ekkoalex的博客
11-14 1590
实验
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
HCIE-RS3.0-TS-LAB.exe
05-13
HCIE-RS3.0-TS-LAB.exe
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
《恶意代码分析实战》第6章 识别汇编中的C代码结构(课后实验Lab 6)
qq_43443410的博客
08-03 446
  一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教。 第6章 识别汇编中的C代码结构(实验Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个程序的目的是什么?Lab 6-2:分析在文件Lab06-02.exe中发现的恶意代码。2.1 main函数调用的第一个子过程执行了什么操作?2.2 位于0x40.
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 381
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
Lab2实验报告
Misivoa的博客
04-29 2745
Lab2实验报告 一、思考题 Thinking2.1 请你根据上述说明,回答问题: 在我们编写的程序中,指针变量中存储的地址是虚拟地址还是物理地址? MIPS 汇编程序中lw, sw使用的是虚拟地址还是物理地址? 虚拟地址; 虚拟地址。 Thinking2.2 请从可重用性的角度,阐述用宏来实现链表的好处。 C语言中没有多态,那么就会出现以下的情况:如果在一个工程中想要同时使用整型的链表和浮点型的链表,就要定义两个结构体,并且同样的操作节点的代码要写两遍;若在C语言中借助void*指针,利用强制类型
perflab实验报告.doc
03-27
perflab实验报告
COBOL 实验lab6
06-15
适合于COBOL的实验报告,可以很好帮助理解COBOL里面的内容
什么是bomblab实验以及学习bomblab实验的意义
05-26
bomblab实验
HIT哈工大软件构造实验lab2
06-17
仅仅供大家参考
HCIE LAB实验考试论述分析题-版本2.5
06-01
HCIE LAB实验考试论述分析题-版本2.5,考试延期到年底,祝福大家
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1715
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析。
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
12-09 1607
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战6-1
Yale的博客
05-30 321
本次实验我们将会分析lab06-01.exe,lab06-04.exe两个文件。先来看看lab06-01.exe要求解答的问题 Q1由main函数调用的唯一子过程中发现的主要代码结构是什么 Q2位于0x40105f的子过程是什么 Q3这个程度的目的是什么 尝试运行会发现程序一闪而过 载入peview分析,查看其导入表 ​ 可以看到WININET.dll,其中其中的InternetGetConnectState函数。利用Windows Internet(WinINet)API,应用程序可以使用http协议访问
如何mysql数据导入到mongdb
codemami的博客
05-30 647
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
在linux服务器上使用tensorboard,错误记录
最新发布
wwwwzm的博客
05-30 363
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
Pandas03
Bianca427的博客
05-27 1103
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
proxylab实验
12-25
proxylab实验是计算机网络课程中非常重要的一部分,它旨在帮助学生理解代理服务器的工作原理和实现方法。在这个实验中,学生需要根据要求完善一个代理服务器的代码,使其能够正确地处理来自客户端和服务器的HTTP请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值