恶意代码分析实战 课后题 Lab12-01

最新推荐文章于 2022-03-04 19:40:48 发布
最新推荐文章于 2022-03-04 19:40:48 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 逆向 恶意代码分析实战 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/77097536
版权
这篇博客详细分析了恶意样本Lab12-01.exe,该样本使用Microsoft Visual C++ v6.0编写,其主要行为包括每隔1分钟弹出窗口,通过DLL注入技术影响explorer.exe。分析发现,它并未真正使系统重启,而是利用CreateRemoteThread和WriteProcessMemory等函数进行进程注入。通过对Lab12-01.dll的深入分析,揭示了其导致窗口频繁弹出的函数sub_10001030。
摘要由CSDN通过智能技术生成
1. 样本概况
病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visual C++ v6.0编写。
1.1样本信息
病毒名称:Lab12-01.exe
MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16
SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA
病毒行为:每隔1min弹出窗口。
1.2测试环境及工具
测试环境:winxp32位
测试工具:OD、IDA、pestudio
1.3分析字符串信息
Lab12-02.exe:
函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx,怀疑进程注入。
Lab12-01.dll,调用了此dll,可以查看它的输出函数。
explorer.exe,可能对此进程进行了进程注入。
Lab12-01.dll:
Press OK to reboot,可能会使系统重启,然而并没有。
Practical Malware Analysis %d
2. 具体行为分析
2.1主要行为分析
每隔一段时间就弹出窗口。
 
进程Lab12-01.exe中用到了explorer.exe.
 
最低0.47元/天 解锁文章
wangtiankuo
关注
专栏目录
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1600
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 231
恶意代码实战详细分析
恶意代码分析实战12-01
Yale的博客
09-20 538
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问: Q1.在你运行恶意代码可执行文件时,会发生什么? Q2.哪个进程会被注入? Q3.你如何能够让恶意代码停止弹出窗口? Q4.这个恶意代码样本是如何工作的? 通过peview载入lab12-01.exe 可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。 再到字符串窗口 可以看到explorer.exe,l
恶意代码分析实战12章实验
weixin_41487541的博客
03-04 505
Lab 12-1 首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。 IDA打开Lab12-01.exe分析,程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。 接下来获取Lab12-01.dll所在的完全路径,并将路径存
恶意代码分析实战 第十二章课后实验
Stronger_99的博客
04-18 714
静态分析: 使用ida打开Lab12-01.exe,打开imports,如下: 这里看到了CreateRemoteThread、WriteProcessMemory和VirtualAllocEx,看到这几个函数就有理由怀疑这是一个进程的注入行为。 看一下字符串,打开strings窗口: 这里看到了几个可以的dll文件,explorer.exeLab12-01.dll和psap...
恶意代码分析实战课后
07-03
该文件解压后会包含另外一个压缩文件该文件解密密码为malware
恶意代码分析实战课后练习
11-04
"恶意代码分析实战课后练习"是一份针对这一主的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道详细分析
恶意代码分析实战 课后 Lab11-02
wangtiankuo的博客
08-09 956
这个里面inline挂钩汇编代码操作没看明白,记一下,过两天重新写一个关于inline挂钩的。 1.样本概况 病毒名称为Lab11-02.dll,编写语言为Microsoft Visual C++ 6.0。 1.1样本信息 md5:BE4F4B9E88F2E1B1C38E0A0858EB3DD9 sha1:79787427773DCCE211E8E65E1156BD60535494EC
Lab12-01-恶意样本分析-简单进程注入分析
LoopherBear的博客
05-21 520
简单进程注入分析 样本来自《恶意样本分析Lab12-1.exe Lab12-01.dll 运行程序后,发生了什么? 观察程序运行信息,会弹出一个对话框提示Press Ok to reboot,点击确认后会再次弹出,可以肯定程序是应该有一个循环,每次弹出对话快之后就等待,如果对话框没被关闭,会重复弹出,如果关闭了,则会在定时器触发后再次弹框。 哪个进程被注入了 这个在运行时没有准确定位到,对比了可以的程序并没有发现,需要实际逆向分析程序。分析后可知,explore.exe被注入加载dll 如何关闭弹窗 需
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
恶意代码分析实战 --- 第十章 使用Windbg调试内核
abelxu
05-31 1014
一、安装内核调试 1.配置虚拟机 编辑C:\boot.ini ,该文件为隐藏文件,将文件按下面方式进行修改 /debug表示开启内核调试 /debugport=COM1表示使用哪个端口来连接调试系统与被调试系统 /baudrate=115200表示指定串口数据传输速率。 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(
恶意代码分析实战12-04
Yale的博客
09-20 822
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析实战—实验12-2
qq_43481350的博客
09-07 575
实验环境 实验环境:windows xp 实验工具:IDAPro WinHex Resource Hacker 实验过程 首先采用IDA加载实验文件Lab12-02.exe文件,查看导入函数窗口(imports): 可以看到导入函数中包含有创建进程等函数还会利用setThreadContext修改进程的上下文;还存在对内存读写操作的API函数;对资源也会有操作。 点击createProcess函数进入被调用的界面: 圈出来的参数为4,代表此进程被创建但是不被执行,除非主进程调用这个函数的时候才会被启动。
恶意代码分析实战Lab0304
ACdream
02-04 648
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
恶意代码分析实战》之课后分析
di_pingxian的博客
12-27 662
课程目录 第一章:静态分析基础 课时1 让我们从最简单的静态分析开始 课时2 初次接触加壳的程序 课时3 通用脱壳机能够减轻我们的很多工作 课时4 PE结构其实能告诉我们很多信息 第二章:动态分析基础 课时1 开始动态地分析恶意程序 课时2 分析一个不可直接运行的DLL程序 课时3 恶意程序会窃取你的键盘输入 课时4 会自我删除的恶意程序 第三章:IDA Pro 课时1 IDA Pro可以让恶意...
恶意代码分析实战,第十三章课后实验
Stronger_99的博客
04-22 371
1: 先来做基本的动态分析,使用Wireshark进行监控,运行程序发现: 发现了一个网址,一段乱码和Mozilla/4.0。使用ida查看一下字符串: 在这里同样看到了Mozilla/4.0。但是并没有看到网址以及那个字符串,那么这两个在后面的分析中就要重点关注一下。 问2: 使用ida搜索xor,结果入下: 通过分析可以知道,只有004011B8地址处的x...
恶意代码分析实战 lab1-4
Yale的博客
02-21 584
q3:文件是什么时候编译的 载入petools 文夹头-》时间、日期标志 可以看到时间。 Q4: 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么 peid载入 可以看到一些dll 比如advapi32.dll 有一些权限、注册表相关的操作 再比如kernel.dll有很多文件相关的操作 q6: ...
《恶意分析》中的lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值