恶意代码分析实战(开坑) LAB1[含实验链接]

最新推荐文章于 2024-04-12 19:08:27 发布
最新推荐文章于 2024-04-12 19:08:27 发布
阅读量1.8k 收藏 10
点赞数 1
分类专栏: 恶意代码分析实战 文章标签: 二进制 win
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w12315q/article/details/88945554
版权
本文档详细介绍了恶意代码分析的实战实验,包括lab1的三个部分:网站报告分析、查壳分析和调用函数分析。通过VirusTotal、PEID工具和OD调试器进行分析,揭示了样本可能的文件复制、进程创建、网络连接等恶意行为。手动和工具辅助的脱壳过程也在实验中得以展示。
摘要由CSDN通过智能技术生成

恶意代码分析实战-实验

https://github.com/Hadreysl/-

lab1-1

网站报告分析

上传分析www.virustotal.com
在这里插入图片描述

pe工具使用分析时间

使用petools工具查看
在这里插入图片描述

查壳分析

利用PEID工具查看
在这里插入图片描述

调用的函数分析

lab1.exe调用了FindFirstFile``FindNextFile``CopyFile
很有可能病毒在搜索并且尝试复制文件。
在这里插入图片描述

最低0.47元/天 解锁文章
Peanuts_CTF
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8533
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 648
Lab1-4 目录 Lab1-4 2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 3.这个文件是什么时候被编译的? ​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4066
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验
HTML恶意代码实验步骤.pdf
07-11
HTML恶意代码实验步骤.pdf 学习资料 复习资料 教学资源
网络安全实验恶意代码实验
qq_64314976的博客
06-22 1198
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
《网络攻防》恶意代码分析
2301_76161259的博客
04-25 595
在免杀原理中我们总结出了恶意代码常用的一些障眼法,在上述两个环节中,我们分别使用了比对特征库,以及对其一些设计上的行为功能进行了分析,接下来,我们使用工具PEID对一些加壳的恶意代码进行壳分析。pe exploer除了编辑资源之外,我们可以用其打开该程序的导入表(一般作为可执行文件,都不向外部提供函数,而需要外部提供一些基础函数支持,所以只有导入表,没有导出表)从以上对于导入表的分析我们可以看出,除了正常的函数,内存管理等调用,该可执行文件还有着修改注册表,系统日志的功能,且与外界建立了。
CQU恶意代码分析实验
qq_62535870的博客
03-27 1663
将U盘上的两个分区格式化,分别格式化为FAT32格式和NTFS格式,然后在两个分区分别创建大文件、小文件和文件夹,来观察两种文件系统的存储原理。
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3495
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
Windows恶意代码剖析实验
08-01
运用OD(动态分析工具)、IDA(静态分析工具)、PEid(查壳工具)等工具对window恶意代码进行具体分析
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战》课件
06-24
恶意代码分析实战》是2014年4月电子工业出版社出版的图书,作者是Michael Sikorski / Andrew Honig
恶意代码实验2
最新发布
m0_63943694的博客
04-12 811
恶意代码实验二--实验过程记录
UEFIBootkit攻击恶意代码分析
m0_61043657的博客
02-13 638
对于UEFI的攻击,从感染方式和攻击层次上来讲,可以分为两种:一种是针对UEFI固件的攻击,一种是磁盘上引导文件的攻击。本次实验着重介绍第二种。调试和编译指定UEFIBootkit恶意程序,加深对Bootkit攻击技术的理解,掌握对操作系统引导文件感染的方法,实现引导完整性攻击,丰富UEFI固件攻击方式。
20212313 2023-2024-2 《网络与系统攻防技术》实验实验报告
m0_62278802的博客
04-11 750
本次实验相对简单顺利,没有之前那样花费大量的时间来安装环境。但是用到的工具特别特别多,主要是用来分析恶意代码的各种信息,但使用了这么多工具我发现都不如我在恶意代码课上学到的好用,我认为ollydbg和winhex可以充分分析文件的各种信息,包括文件头、文件结构、文件中的data节、text节等等。
恶意代码分析实战第13章实验
weixin_41487541的博客
03-10 329
Lab13-1 1. 比较恶意代码中的字符串与动态分析提供的有用信息,基于这些比较,哪些数据可能被加密? string查看Lab13-01.exe字符串注意到有http字符串,并且%s表示有输出的值。 利用火绒剑监控Lab13-01.exe,可以看到文件正在访问www.practicalmalwareanalysis.com/aGFueHUtUEM=/ 推测两个%s表示的正是www.practicalmalwareanalysis.com和aGFueHUtUEM=,但在查看Lab13-01
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值