恶意代码分析实战
文章平均质量分 53
Hummer-200
这个作者很懒,什么都没留下…
展开
-
实验Lab06
Lab6-1在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。问题1.由main函数调用的唯一子过程中发现的主要代码结构是什么?首先进行静态分析。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oqhh9Qm6-1634635502619)(E:\学习笔记\我的坚果云\恶意代码分析实战\实验Lab06.assets\image-20210918171733306.png)]通过上=上图标记的几个函数发现,该程序可能会联网。接下来进行动态分析。原创 2021-10-19 17:50:10 · 375 阅读 · 0 评论 -
恶意代码分析实战5-1
恶意代码分析实战Lab5-1文章目录恶意代码分析实战Lab5-11.DllMain的地址是什么?2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址?3.有多少函数调用了gethostbyname?4.将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗?5.IDAPro 识别了在0x10001656处的子过程中的多少个局部变量?6.IDAPro识别了在0x10001656处的子过程中的多少个参数?7.使用String原创 2021-09-16 20:00:44 · 421 阅读 · 0 评论 -
恶意代码分析实战3-3、3-4
Lab3-3问题1每次运行该程序都会多一个svchost.exe然后该进程自动结束问题2内存字符串和映像字符串不同,说明该程序对内存中的svchost进行了修改出现上图字符串一般是对键盘进行监听问题3、问题4该程序在系统中创建了practicalmalwareanalysis.log日志文件,我们打开该文件查看如下:可以看到该程序对键盘记录的结果Lab3-4问题1文件运行一瞬间后自动结束运行并将自身删除通过procmon不难发现该程序打开了一个cmd.exe问题2原创 2021-09-08 21:49:17 · 159 阅读 · 0 评论 -
恶意代码分析实战3-2
恶意代码分析实战3-2问题1Windows系统中在rundll32目录下执行如下命令:用regshot比较安装前后的注册表代码会在svchost进程中启动问题2执行命令如下,已经成功运行问题3通过查找Lab03-02.dll查找该程序发现是在svchost进程下运行的问题4我们可以在Process Explorer中查看该进程的PID,我们可以通过PID过滤问题5该程序执行时会在系统中写入如下文件除此之外,通过如下信息发现该程序将自己写在注册表的键值里面原创 2021-09-07 08:17:46 · 89 阅读 · 0 评论 -
恶意代码分析实战3-1
恶意代码分析实战3-1问题1将Lab3-1.exe文件拖入PEid中,发现该文件是加壳文件从导入表中可以发现只有一个导入的动态链接库 想要查看详细情况需要用到动态分析的方法问题2首先启动wireshark,procmon为procmon设置过滤器:启动完成后运行Lab03-01.exe我们首先分析procmon给出的信息:由于信息过多,我们对过滤器进行更详细的设置对函数WriteFile、RegSetValue进行过滤WriteFile函数将某个文件写在了改目录下面,初步鉴原创 2021-09-04 10:37:02 · 172 阅读 · 0 评论 -
恶意代码分析实战1-4
恶意代码分析实战1-4问题1发现58个引擎报毒问题2该文件没有被加壳 有VC++6.0编译问题3有PETools可以查看该文件是2019年8月30日编译的问题4从导入的动态链接函数可以发现该程序具有创建远程线程的功能,还可以打开一个程序,写入文件这三个函数是提权用的问题5用Strings工具进行分析可以判断该程序具有从该网址上下载程序并执行的功能,同时该程序还会将自身隐藏在系统目录中该网址可以作为基于网络的迹象问题6用source hacker将资源提取出来原创 2021-08-26 13:51:57 · 144 阅读 · 0 评论 -
恶意代码分析实战1-3
恶意代码分析实战1-3问题1发现60个引擎报毒问题2由图可以看出,改文件是FSG1.0进行加壳的,我们用LinxerUnpacker对其进行脱壳脱壳后可以看到该程序是有VC++6.0编译的问题3这三个导入函数说明该程序使用了CUM组件模型问题4用Strings工具筛选出可打印的字符:我们从中发现了一个网址,ad.html可能是一个广告网址,所以我们由此猜测刚程序的功能可能是打开一个广告该网址可以作为基于网络的迹象...原创 2021-08-26 13:50:39 · 189 阅读 · 0 评论 -
恶意代码分析实战1-2
恶意代码分析实战1-2Lab1-2问题1发现有51个引擎报毒问题2用工具PEid分析,如下图,发现该文件是由UPX工具进行加壳的利用FreeUpx工具进行脱壳处理脱壳后在查看问题3查看导入函数列表:OpenMutexA:打开一个互斥CreateMutexA:创建一个互斥CreateThread:创建一个线程CreateServiceA:创建一个服务连接网络的函数可以初步确定 该程序是要连接一个网站问题4用strings查看文件中可打印的字符发现该程序会连原创 2021-08-26 11:26:09 · 123 阅读 · 0 评论 -
恶意代码分析实战
恶意代码分析实战Lab1-1问题1将文件Lab01-01.exe直接上传至http://www.VirusTotal.com 结果如下:发现有四十七个报毒将文件Lab01-01.dll文件上传至http://www.VirusTotla.com 结果如下:发现四十个报错综上,证明已经匹配到了病毒软件特征问题2用工具PETools查看.exe文件的编译时间:用工具PETools查看.dll文件的编译时间:可以看出两个文件编译的时间几乎相同,可以判断是由同一位恶意代码作者编写的原创 2021-08-25 21:53:25 · 232 阅读 · 0 评论