恶意代码分析实战 课后题 Lab11-02

最新推荐文章于 2022-08-02 12:08:38 发布
最新推荐文章于 2022-08-02 12:08:38 发布
阅读量941 收藏 2
点赞数
分类专栏: 逆向 恶意代码分析实战 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/76983585
版权
这篇博客详细分析了Lab11-02.dll恶意代码,它使用Microsoft Visual C++ 6.0编写,通过创建AppInit_DLLs注册表项实现持久化。恶意代码在邮件客户端中安装inline挂钩,向send函数添加额外的RCPT TO收件人,将邮件副本发送给billy@malwareanalysisbook.com。分析涉及OD IDA工具,深入探讨了inline挂钩、注册表操作和动态分析。
摘要由CSDN通过智能技术生成
这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。
1.样本概况
病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。
1.1样本信息
md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9
sha1:79787427773DCCE211E8E65E1156BD60535494EC
病毒行为:
从Lab11-02.ini中解密邮件地址,给所有发出的邮件添加了一个收件人。
1.2测试环境及工具
环境:winxp32位
工具:OD IDA
2.具体行为分析
2.1主要行为
创建一个新的注册表项AppInit_DLLs,来永久安装恶意代码自身。
最低0.47元/天 解锁文章
wangtiankuo
关注
专栏目录
恶意代码分析实战课后 Lab11-01
wangtiankuo的博客
08-04 1999
1.行为分析 资源节里面有一个可执行文件。 对注册表的Winlogon进行了操作,创建了GinaDLL表项。 创建了msgina32.dll文件,并向此文件中写入了长度为2560字节的数据。 2.恶意代码分析 2.1 对Lab11-01.exe进行分析 根据main函数的伪代码,总结出程序的大致流程为,从资源节中导入文件,打开文件,对文件进行写操作-->获取当前文件的完整路径-->使用
恶意代码分析实战课后习题
07-03
该文件解压后会包含另外一个压缩文件该文件解密密码为malware
恶意代码分析实战 Lab 11-2 习题笔记
isinstance的博客
04-25 1331
目提示是: 假设一个名为Lab11-02.ini的可疑文件与这个恶意代码一同被发现 我们这次把分析过程放在上面 我们还是一样的先做一些静态的分析 这里有一个我们以前没见过的函数叫CreateToolhelp32Snapshot 这个函数在MSDN里面的定义是这样的 获取指定进程的快照, 以及这些进程使用的堆、模块和线程 书中对这个导入函数的解释是 搜...
恶意代码分析实战 第十一章课后实验Lab11-02
Stronger_99的博客
04-16 545
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
恶意代码分析实战课后习题
weixin_43988404的博客
03-16 653
PracticalMalwareAnalysis-Labs 《恶意代码分析实战》的课后链接 在win xp环境下 链接:https://pan.baidu.com/s/18Geh-MI_-LXvaMIGe5lRvg 提取码:f97k
恶意代码分析实战lab11-2分析
WocW的博客
07-26 507
Lab11-02分析 前言 该实验进行对底层hook来窃取用户信息的恶意代码分析。 详细分析 首先在系统文件夹下打开Lab11-02.ini文件,如果打开失败则不继续运行。如图所示: 读取Lab11-02.ini文件后,进入一个简单解密函数。如图所示: 解密前数据,为乱码。 解密后数据,为一个电子邮件。 进入最后的sub_1000A4B6函数,整体函数流程注释如图所示: 首先获取当前进...
恶意代码分析实战课后习题
11-04
"恶意代码分析实战课后习题"是一份针对这一主的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道详细分析
恶意代码分析实战 课后 Lab12-01
wangtiankuo的博客
08-11 1360
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战课后实验样本。
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战 Lab11
baidu_41108490的博客
05-28 872
lab11-011
恶意代码分析实战》之课后习题分析
di_pingxian的博客
12-27 654
课程目录 第一章:静态分析基础 课时1 让我们从最简单的静态分析开始 课时2 初次接触加壳的程序 课时3 通用脱壳机能够减轻我们的很多工作 课时4 PE结构其实能告诉我们很多信息 第二章:动态分析基础 课时1 开始动态地分析恶意程序 课时2 分析一个不可直接运行的DLL程序 课时3 恶意程序会窃取你的键盘输入 课时4 会自我删除的恶意程序 第三章:IDA Pro 课时1 IDA Pro可以让恶意...
恶意代码分析实战7-9章课后
qq_41672971的博客
08-02 138
自己练习
恶意代码分析实战11章实验
weixin_41487541的博客
03-04 3067
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
恶意代码分析实战11-1
Yale的博客
05-28 394
本次实验我们将会分析lab11-01.exe文件。先来看看要求解答的问 Q1.这个恶意代码向磁盘释放了什么? Q2.这个恶意代码如何进行驻留? Q3.这个恶意代码如何窃取用户登录凭证? Q4.这个恶意代码对窃取的证书做了什么处理? Q5.如何在你的测试环境让这个恶意代码获得用户登录凭证? Peview载入 ​ 看到了ginadll和一个注册表,怀疑这可能是一个拦截gina的恶意代码 查看导入函数 ​ 可以看到一些操纵注册表和提取资源节的函数 我们看到了名为TAGD的资源节 ​ 可以看到它里面包含一个pe文
Lab 11-2
bangren3304的博客
03-03 240
Analyze the malware found in Lab11-02.dll. Assume that a suspicious file named Lab11-02.ini was also found with this malware. Questions and Short Answers What are the exports for this DLL malwar...
恶意代码分析实战11-2
Yale的博客
05-28 547
本次实验我们将会分析lab11-02.exe文件。先来看看求解答的问 Q1.这个恶意DLL导出了什么? Q2.使用rundll32.exe安装这个恶意代码后,发生了什么? Q3.为了使这个恶意代码正确安装,Labl 1-02.ini必须放置在何处? Q4.这个安装的恶意代码如何驻留? Q5.这个恶意代码采用的用户态Rootkit技术是什么? Q6.hook代码做了什么? Q7.哪个或者哪些进程执行这个恶意攻击,为什么? Q8. .ini 文件的意义是什么? Q9.你怎样用Wireshark动态抓获这个恶意
《恶意分析》中的lab07-02实验
最新发布
06-19
而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值