恶意代码分析实战Lab03-01

已于 2022-10-27 14:55:05 修改
阅读量1.3k 收藏 22
点赞数 3
文章标签: 网络 windows 服务器
于 2022-10-23 19:51:30 首次发布
本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53184526/article/details/127346524
版权

注:分析恶意代码一定要在安全的环境下,如与主机和外网隔离的虚拟机=》网络适配器选择主机模式或模拟一个与主机和外网隔离的虚拟网络;以及给拍个干净快照
平台:博客园
恶意代码分析:虚拟网络环境配置

前提说明:
静态分析在环境 Win10 和 Kali2021 环境下完成,但是动态分析就在 Windows XP professional(32位) 和 Kali2021 下完成,因为兼容性问题所以在Win10(或Win7,本人自己搭建的Win7有些恶意软件还是无法运行,且目前还未解决)无法运行部分恶意软件

文章目录

要求:使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码

1. 找出这个恶意代码的导入函数和字符串列表=》静态分析

  • 查看Lab03-01.exe的MD5哈希值
    file=>open file=>选择Lab03-01文件
    MD5值

  • 使用PEid查看查看文件格式,PEiD主要用于查加壳和编译器检测
    PEiD看是恶意代码否加壳
    红线框处可暂时判断代码是否加壳:显示该文加为压缩加壳
    有壳:显示加壳信息
    无壳:显示编写软件与编写语言,但有时也可能是加壳恶意代码的恶意伪装,需进一步判断
    扩展:OEP(original entry point)程序原始入口点,软件加壳就是为了隐藏入口点EP,因此只要找到EP就可以进行脱壳

    使用PEview的分节IMAGE_OPTIONAL_HEADER.text/.data/.rsrc等查看
    如果各节头表的虚拟内存大小>原始内存大小,则该样本可能加了壳,但数据节头的虚拟内 存大小大于原始内存大小很正常
    注意:小端存储,所以Virtual Size>Size of Row Data
    导入表

有关PEView头信息:
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43633973/article/details/102378477
————————————————
版权声明:本文为CSDN博主「江湖one Cat」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_43633973/article/details/102378477

  • 查看字符串列表
    继续使用PEiD查看导入函数和字符串列表
    导入函数表
    导入函数表

    字符串列表
    字符串列表

    使用程序strings
    平台:Microsoft
    strings下载地址

    下载后进行环境配置=》再运行strigns.exe程序
    配置环境:
    配置环境-step1
    配置环境-step2
    配置环境-step3
    配置环境-step3

    获取字符串列表:


    发现有一个应用程序、一个域名和很多关于注册表的信息,因此接下来可以利用注册表快照工具分许注册表变化

2. 这个恶意代码在主机上的感染迹象特征=》动态分析

  • 使用RegSnap工具分析注册表变化
    平台:深信服社区
    RegSnap使用说明
    运行Lab03-01.exe前拍摄注册表快照
    运行Lab03-01前的注册表快照
    运行Lab03-01.exe后再拍摄注册表快照
    在这里插入图片描述
    若此次拍摄注册表快照时出现“无法制作注册表快照”,则可以尝试重启RegSnap应用程序—该问题在XP系统上没有出现

    Windows XP Professional系统上对恶意软件进行动态分析,注意要在安全环境下分析
    比较两次拍摄的注册表:
    在这里插入图片描述
    注册表快照总体比较
    键值增加
    快照比较分析得出该恶意软件在HKEY_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver下添加了一个自启动项:
    名字-VideoDriver ;
    数据-C:\WINDOWS\System32\vmx32to64.exe
    说明程序vmx32to64.exe在开机时会自启动

  • 使用Process Explorer分析
    运行Lab03-01.exe后查看动态链接库,如下图
    在这里插入图片描述
    在这里插入图片描述
    ws2_32.dll 和 Wshtcpip.dll库文件说明该样本存在网络行为

  • 使用Process Monitor工具监视样本操作行为
    过滤出Lab03-01.exe
    在这里插入图片描述

    再将Lab03-01.exe的设置键项和写文件的操作过滤出来
    在这里插入图片描述
    注:若没有过滤没有内容,那可能是之前运行了Lab03-01.exe造成的影响,可以恢复到干净 快照重新运行Lab03-01.exe

    在目录C:\WINDOWS\System32\下创建了一个程序vmx32to64.exe
    创建了一个程序

    添加了一个自启动项,且该启动项指向程序C:\WINDOWS\System32\vmx32to64.exe
    新添自启动项

  • 实用工具WinMD5工具查看vmx32to64.exe与Lab03-01.exe的MD5值
    在这里插入图片描述
    在这里插入图片描述
    两个程序的MD5值一样,说明Lab03-01.exe将自己复制到了C:\WINDOWS\System32目录下,并从命名为vmx32to64.exe

  • 使用ApateDNS分析
    在Kali虚拟机上开启Inetsim
    在这里插入图片描述
    开启ApateDNS

    运行Lab03-01.exe
    运行Lab03-01.exe截获的DNS请求
    Lab03-01.exe访问了网址:www.practicalmalwareanalysis.com

3. 回答问题:

  1. 找出这个恶意代码的导入函数与字符串列表?
    静态分析时用到的工具PEiD和PEView都可看到恶意代码的导入函数, 使用PEiD和strings可以查看恶意代码的字符串列表
  2. 这个恶意代码在主机上的感染迹象特征是什么?
    该恶意代码的感染迹象特征是将自己复制到C:\WINDOWS\System32\目录下并重名为vmx32to64.exe,同时修改注册表,添加了一个自启动项来实现开机启动vmx32to64.exe
  3. 这个恶意代码是否存在一些有用的网络特征码?如果存在,他们是什么?
    Lab03-01.exe访问了网址:www.practicalmalwareanalysis.com
qq_53184526
关注
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 961
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
恶意代码分析实战_03动态分析基础技术_实验
最新发布
kitsch0x97的博客
05-13 397
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战Lab3
weixin_47038938的博客
04-10 1291
第三章动态分析基础技术恶意代码分析实战Lab3-1Lab3-21.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 1.操作场景:VMware workstation 15.5 + Windows7 VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519 2.实验工具: ProcessExplorer:https://d
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1129
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战 Lab 10-1 习题笔记
isinstance的博客
01-15 2163
Lab 10-1 一些准备工作 首先就是配置内核调试的环境 我这里用的是VirtualBox而不是书上的VMware 所以这里可能会有一些的不同 书上说的是这样的 与用户态调试不同,内核调试需要一些初始化配置。首先需要配置虚拟操作系统并开启内核调试,然后配置VMware使虚拟机和宿主操作系统之间有一条虚拟化的串口,同时还应该配置宿主操作系统中的WinDbg 我们按照书上的...
恶意代码分析实战源码
qq_38393271的博客
03-16 879
** 恶意代码分析实战源码 ** 百度网盘链接:链接:https://pan.baidu.com/s/1jzThUG2Z1ddBwsEHfj5Ukg 提取码:umxz 记得点赞!!!!!
恶意代码分析实战 2 动态分析基础技术
农夫果园好好喝的博客
01-24 1803
使用动态分析基础技术来分析Lab03-01.exe文件中发现的恶意代码。问题ws2_32cks=uadvapi32ntdlluser32StubPathadminWinVMX32-AppData网址是需要注意的,注册表的这个目录也需要注意,CurrentVersion经常用于恶意软件的自启动。拖入PEiD,查看一下是否有壳。由于加了壳,只能看到一个函数表。
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战 [(美)斯科尔斯基,(美)哈尼克著][电子工业出版社][2014.04][704页].part2.rar
09-12
因为是在淘宝买来的,所以要分有点高,希望谅解,有两个压缩包,这是第二个,第一个在我资源里面找。下下来一起解压,完整版的,不是样章,放心下载
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
注册表 快照工具 Regshot
灵台方寸山斜月三星洞
12-28 1788
Regshot 创建快照,对比差异 如果想针对注册表进行某些操作。 那我们第一件要做的事就是定位到注册表目标键值。 这是个注册表快照小工具 操作前建立快照A 操作后建立快照B 对比快照。即可知道注册表的变化 快照B建立后,默认会自动弹出对比结果: 定位目标键值 这次我要定位的是扩展名隐藏、显示是由哪个键控制。 经过分析找到了:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced项。 但这个快照只定位
RegSnap一个注册表分析工具教程
gooodiuck的专栏
12-14 2985
Regsnap是一个注册表分析工具,别看其瘦小,只有264KB,其功能可谓强大。Regsnap可以对系统注册表文件以及Windows目录、System目录下的文件照一张快照,这个快照以.reg为扩展名的文件保存在Regsnap所在的目录下,你可以在安装或卸载软件前后各生成一个快照,由Regsnap的compare(比较)功能,看该软件对注册表等关键文件的所有改动,包括键的修改、删除和增加,这些变化
恶意代码分析实战3-1
Yale的博客
09-20 473
使用动态分析基础技术来分析lab03-01.exe Q1:找出这个恶意代码的导入函数与字符串列表 Q2:这个恶意代码在主机上的感染迹象特征是什么 Q3:这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? 依次分析 Q1:找出这个恶意代码的导入函数与字符串列表 将文件载入peview 可以看到只导入了kernel32.dll。只有一个导入函数——ExitProcss 推测这个程序可能被加壳了,导入函数将在运行时被解析 然后使用string查看字符串 从打印出的结果中我们看到url,注册表位置,e
RegShot – 注册表比较工具
hbqjzx的专栏
09-10 728
是一种注册表比较工具,它通过两次抓取注册表而快速地比较出答案。它还可以将您的注册表以纯文本方式记录下来,便于浏览;还可以监察 Win.ini,System.ini 中的键值;还可以监察您Windows目录和 System 目录中文件的变化,为您手工卸载某些软件创造条件。
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1700
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
mbr二进制静态分析 ida
07-27
### 回答1: MBR(Master Boot Record)是计算机系统的启动程序,位于硬盘的第一个扇区,一般占用512字节。它包含了分区表以及启动操作系统所需的代码。IDA是一款反汇编软件,可以用于对二进制文件进行静态分析。 使用IDA对MBR进行二进制静态分析,可以深入了解MBR的功能和执行流程。 首先,在IDA中打开MBR的二进制文件,IDA会自动识别并显示程序的指令流。可以通过分析指令之间的跳转、数据处理等关系,还原出MBR的代码逻辑。 其次,IDA可以对二进制文件进行反汇编,将机器指令转换成可读性更高的汇编指令,方便程序员理解和分析。通过IDA的反汇编功能,可以逐步追踪程序的执行路径,查看各个函数的调用关系,识别出程序的功能模块。 此外,IDA还提供了图形化界面,用于展示程序的控制流图、函数调用图等可视化信息,方便用户理解程序的结构和逻辑。 最后,通过IDA的静态分析功能,可以查找程序中的漏洞和恶意代码。例如,可以搜索特定的字符串、调用系统函数的位置,以便检测程序是否含有病毒、后门等恶意代码。 总的来说,利用IDA进行MBR二进制静态分析,可以帮助研究人员深入了解MBR的工作原理和代码逻辑,识别恶意代码,加强对计算机系统的安全防护。 ### 回答2: IDA是一款十分常用的二进制静态分析工具,它主要用于对二进制文件进行逆向工程和安全分析。二进制文件通常是以机器语言编写的,分析这样的文件是十分困难的。然而,IDA通过对二进制文件进行分析,可以还原出源代码的一些结构和逻辑。 首先,IDA的静态分析功能使得我们可以在不运行程序的情况下查看程序的执行流程、函数调用、内存分配等。我们可以分析程序的汇编指令,了解每条指令的作用和执行过程,进而还原出程序的整体逻辑。 其次,IDA提供了反汇编功能,可以将机器码反汇编成汇编代码,这样我们就可以看到程序从二进制代码转换为汇编代码的过程。这对于探查程序中隐藏的功能和漏洞非常有用。 此外,IDA还提供了交互式调试功能,可以在不运行程序的情况下直接查看和修改内存中的值,对程序的执行进行调试,并寻找和解决问题。 总之,通过IDA的二进制静态分析,我们可以更好地理解程序的功能和结构,发现潜在的安全漏洞,从而提高软件的安全性和性能。这使得IDA成为许多安全研究人员和软件工程师的重要工具之一。 ### 回答3: MBR(Master Boot Record,主引导记录)是磁盘的第一个扇区,是启动操作系统的关键组成部分。IDA(Interactive Disassembler,交互式反汇编器)是一款二进制静态分析工具,用于逆向工程和恶意软件分析。 使用IDA进行MBR的二进制静态分析时,首先需要将MBR的二进制文件导入到IDA中。IDA通过解析二进制代码,将其转换为可读的汇编语言代码,以便分析和理解程序的逻辑。 对于MBR的二进制静态分析,可以使用IDA进行以下方面的研究: 1. 代码调用关系分析:IDA可以显示函数之间的调用关系,帮助我们理清代码的逻辑流程。 2. 变量和数据结构分析:IDA可以识别并显示代码中使用的变量和数据结构,帮助我们了解数据的存储和使用方式,进而理解程序的功能。 3. 漏洞分析:通过IDA的漏洞分析功能,我们可以查找代码中存在的安全漏洞或异常处理不当的问题,从而提供安全修复建议。 4. 反汇编代码注释:IDA可以让我们添加自己的注释,对代码进行解释和标记,方便后续的分析和理解。 综上所述,IDA作为一款强大的二进制静态分析工具,可以帮助我们深入理解MBR的功能和逻辑,发现其中的潜在问题,从而提供安全修复和改进的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值