恶意代码分析实战
Psy_Hacker
这个作者很懒,什么都没留下…
展开
-
恶意代码分析实战Lab07——03.exe
第一步:查看程序的基本信息(无壳)第二步:查看资源信息(没有资源信息)第三步:查看导入表、字符串资源等信息通过查看导入表可以大概猜测一下程序的部分功能:应该是和文件操作有关系,打开一个已经存在文件或者是创建一个新的文件,并对该文件进行操作在查看字符串的时候,可以看到一些可疑的字符串,像图中出现的Kernel32.dll和Kerne132.dll(在这里一个是系统的动态链接库文件而另一...原创 2020-01-08 16:09:42 · 486 阅读 · 0 评论 -
恶意代码分析实战Lab03——04.exe(详细分析)
第一步:查看程序的基本信息:查壳:无壳查看资源数据:没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。第二步:使用IDA和OD进行分析:在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据):之后就通过...原创 2019-12-26 17:25:19 · 1021 阅读 · 0 评论 -
恶意代码分析实战Lab03——2.dll、3.exe
第一步:查看基本信息:第二步:该程序是DLL,看导出函数:可以看出,该程序的导出函数有很大的参考意义,基本上已经告诉我们每个导出函数的作用 ,...原创 2019-12-24 11:48:04 · 320 阅读 · 0 评论 -
恶意代码分析实战Lab3——01
第一步:查壳显示无壳,但是根据图片信息可以看出,该程序是用汇编语言编写的第二部步:查看函数信息导入表只有一个函数:ExitProcess(因为是应用程序,所以不看导出函数)第三步:IDA查看反汇编结果:先查看字符串:找到可以的字符串,查看交叉引用,显示无交叉引用,接下来看反汇编结果:定位到关键函数,直接跳转过去,反编译失败,修改堆栈失败,采用动态调试的方式进行进一步的分析:...原创 2019-12-23 16:58:21 · 788 阅读 · 0 评论 -
恶意代码分析实战Lab1——03 补:FSG脱壳
前边在做Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程:0x01查壳信息0x02开始脱壳载入OD按 Alt+M 在Text段下断点:F9运行:听下来之后Alt+F9返回到用户代码:接着F4 运行到大跳转处:F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,...原创 2019-12-21 19:12:42 · 547 阅读 · 0 评论 -
恶意代码分析实战Lab01——03&04
第一步:查看文件是否加壳:加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中:第二步:将程序,用IDA打开进行详细分析:第三步:分析main函数;可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了:嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...原创 2019-12-21 18:51:25 · 838 阅读 · 0 评论 -
恶意代码分析实战——Lab1-002.exe
查看程序,有壳:第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好)第二步开始分析:main函数进去之后:可以先查询一下调用的API的具体功能:StartServiceCtrlDispatcherA将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程函数原型:BOOL StartServiceCtrlD...原创 2019-12-21 11:51:41 · 423 阅读 · 0 评论