恶意代码逆向分析基础入门

最新推荐文章于 2023-04-25 10:41:04 发布
最新推荐文章于 2023-04-25 10:41:04 发布
阅读量993 收藏 3
点赞数
分类专栏: 恶意代码分析实战 文章标签: 恶意分析 动态分析

转自:http://blog.csdn.net/microzone/article/details/52233649  作者:5t4rk

0x001


前期基础知识储备


1 恶意行为特征,病毒,蠕虫,木马的认识了解。

2 相应工具的操作基础学习。


0x002 


系统环境

vmware12

win7 x64 


0x003


工具清单

tcpview
pchunter
wireshark
process monitor
sublime
editplus
hash
depends


0x004

逆向流程


1 具体测试程序样本test.exe

File: C:\Users\ROOT\Desktop\TEMP\test.exe
Size: 84480 bytes
Modified: Wednesday, July 13, 2016, 8:26:25 PM
MD5: 9CB934CA6A22E5716217AB9F0A27B344
SHA1: CF9A12598D4C63FC36665B163810052F9FFE8CDD
CRC32: 3379D8C8




2 先快照备份系统

process monitor打开  规则设置为监控test.exe程序的行为特征。

    1  进程线程行为

    2  文件访问行为

    3  注册表访问行为

    4  网络行为行为

    5  线性事件活动行为



3 pchunter打开 




4 wireshark打开 



5 tcpview打开 





0x005


然后双击程序,捕获行为。











0x006


整理结果如下(记录行为有以下几种)


1  该样本程序进行了多方式开机启动。


2  该样本程序没有进行网络通信建立连接。


3  该程序进行了自删除操作,实现隐藏自己。


4  该程序没有释放任何别的dll子文件。


5 二进制对比和hash校验,没有发现有自身文件变化。


6 注册表创建,修改,删除多项操作。


7 复制自身到开始启动文件夹。

Ivw_IT
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2023年04月 《恶意代码分析逆向基础》之动态分析
时光隧道
04-22 8769
恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式,而不被用户或安全机制所察觉,以达到攻击目的。逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息,来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。动态分析是指在运行时/runtime对程序执行的代码进行跟踪、监测和分析的过程。
2017年恶意代码威胁回顾和快速分析实践.pdf
08-08
2017年供应链攻击,勒索事件和Office漏洞层出不穷,恶意代码的复杂性也在不断进化。我们下面将分享一些在我们日常工作中针对不同类型样本自动化分析的一些方法和例子。我们会结合过去一年中的重点事件讲述这些技巧的应用。我们还会讲到我们在分析NotPetya勒索病毒过程当中一些有趣的发现。 内容提纲 1.恶意文档分析技巧 漏洞 VBA 2.API/字符串解密 API解密 字符串解密 3.反调试/反虚拟机/反沙箱技术 anti-debug anti-vm anti-sandbox 4.shellcode分析技巧 loader shellcode to exe scdbg 5.finspy x86混淆 代码虚拟化 6.其它一些有助于分析的工具和脚本 7.代码混淆技术 8.NotPetya中一个有趣的发现
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8034
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
恶意代码--逆向分析基础入门
关注互联网安全的小虾米一枚
07-26 2471
恶意代码 1 恶意行为特征,病毒,蠕虫,木马的认识了解。 2 相应工具的操作基础学习。
恶意代码逆向静态分析之键盘记录(键盘钩子)以及代码实现 有手就行
weixin_50847719的博客
10-18 381
在这里插入图片描述
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8318
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1385
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2456
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
Android恶意代码逆向分析.pdf
09-21
Android恶意代码逆向分析.pdf
逆向分析-010Editor代码
12-04
逆向分析-010Editor代码
Android逆向分析基础篇之格式篇.pdf
08-07
•Dalvik汇编语言基础 •Dalvik版本HellWorld •破解第一个程序 Dex和ODex文件格式 •Dex文件结构解析 •ODex文件结构解析 •另类APK破解方法 Smali文件格式 •Smali文件结构解析 •IDA Pro 破解实例
恶意软件分析实战05-逆向分析Lab011-01.exe
輚至消亡
09-14 467
首先查壳, 发现没有加壳。这个程序是用VC++6.0编写。 把样本拖入VT内查看, 发现47个杀毒引擎认为其有问题。 仔细查看一下报告, 附带有资源节 看一下它内部有的函数, 资源节肯定有问题。 继续查看VT报告, 发现其是一个名为msgina32.dll。初步考虑是利用了Winlogon服务,对GINA进行劫持。 注册表设了GinaDLL键验证了我的猜想。至少非常大的可能。 不管如何先用Resource Hacker把这个DLL拿出来再说。 首先把恶意软...
【愚公系列】2023年04月 《恶意代码分析逆向基础》之静态分析
时光隧道
04-25 8588
恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式,而不被用户或安全机制所察觉,以达到攻击目的。逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息,来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。静态分析是一种通过分析程序代码或二进制文件的方式来了解其内部结构和运行方式的方法。
恶意软件分析实战07-逆向分析Lab014-01.exe
輚至消亡
09-19 199
拖入PEID查壳, 发现没有壳。 用KANAL扫一扫,发现里面可能Base64算法。因为查找到了对应表, 这里先记下: 拖入VT内查看, 有问题: 查看详细报告里面导入函数信息, 最特殊的莫过于这几个了, 上面那两个主要用于获取系统以及用户信息,下面用于下载。 拖入IDA分析, 上来首先调用了GetCurrentHwProfileA来获取当前系统的GUID,并获取其中部分拼搭起来。 可以看到其拼搭成这样: 接着调用了GetUserNameA获取了当前用户的名称,使用...
恶意软件分析实战03-一个后门的逆向分析
輚至消亡
07-20 675
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
01 恶意代码分析技术概述
weixin_45760206的博客
08-31 1316
文章目录一. 恶意代码基础知识1.基础知识:2.恶意代码类型3.分类4.恶意代码技术新趋势二. 恶意代码分析技术介绍1.恶意代码分析关键点2.静态分析3.动态分析4.恶意代码静态分析方法列表5.恶意代码动态分析方法列表6.恶意代码分析目标 一. 恶意代码基础知识 1.基础知识: 恶意代码的定义:使计算机按照攻击者的意图运行以达到恶意目的的指令集合。 指令集合:n二进制执行文件,脚本语言代码,宏代码,寄生在文件、启动扇区的指令流。 宏代码: 2.恶意代码类型 特洛伊木马:伪装成有用软件,隐藏恶意
[安全攻防进阶篇] 一.什么是逆向分析逆向分析应用及经典扫雷游戏逆向
热门推荐
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
[系统安全] 一.什么是逆向分析逆向分析基础及经典扫雷游戏逆向
杨秀璋的专栏
12-10 1万+
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engin
一个老旧恶意软件的逆向分析
輚至消亡
06-25 377
发现加了UPX壳,所以首先手动脱壳,根据ESP守恒。一进去就发现了pushad UPX是个亚索克,所以进去后就发现有非常多的循环 循环都可以跳过,值得注意的是,这里最后那个Jmp是不能越过的,因为下面就是ExitProcess()会直接退出进程,这里也看到了popad操作。 这里为了到达OEP,要通过这样绕过ExitProcess(), 其实直接下bp然后断在OEP处就行了。 进入OEP后进行dump, 修复入口点: 修复导入表: 先拖入IDA,查看一下: 拖入..
python逆向分析爬取通用模板代码
最新发布
05-26
Python逆向分析爬取通用模板代码的步骤如下: 1. 使用Chrome等浏览器打开目标网站,并按F12打开开发者工具,进入Network面板,勾选“Preserve log”选项。 2. 在浏览器中输入目标网站的URL,按下回车键,此时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值