恶意代码分析实战 Lab16-01

最新推荐文章于 2020-09-01 09:56:29 发布
最新推荐文章于 2020-09-01 09:56:29 发布
阅读量726 收藏
点赞数
分类专栏: 逆向 恶意代码分析实战 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/77717876
版权
知识点:
一、 使用windowsAPI来探测调试器是否存在反调试技术
IsDebuggerPresent
CheckRemoteDebuggerPresent
NtQueryInformationProcess
OutputDebugString
二、 手动检测数据结构
检测BeingDebugged属性
fs:[30]指向PEB的基地址,PEB基地址偏移为2的地方是BeingDebugged标志的位置。BeingDebugged为0,则没有调试器附加。
检测ProcessHeap属性
ProcessHeap在PEB基地址偏移0x18处。Winxp系统中,ForceFlags属性位于堆头部偏移量0x10处。
检测NTGlobalFlag
PEB结构偏移量0x68处,决定如何创建堆结构,若此位置值为0x70,则进程正运行在调试器中。
分析报告
1. 样本概况
样本名称是Lab16-01.exe,编译器为 Microsoft Visual C++ v6.0。
1.1样本信息
样本名称:Lab16-01.exe
MD5值: 7FAAFC7E4A5C736EBFEE6ABBBC812D80
SHA1值:625628D4C91D4193474735DA011903642B2C916E
样本行为:使用了三种不同的反调试技术来阻止调试分析。
1.2测试环境及工具
测试环境:WinXP
测试工具:IDA 、OD
2. 恶意代码分析
使用了BeingDebugged、ProcessHeap、NTGlobalFLag这三种反调试技术来阻止调试
 
 
一旦发现样本正在被调试,则程序将从磁盘上删除自身。
 
3. 总结
使用OD的插件PhantOm可以防御这些反调试技术。
wangtiankuo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2583
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战Lab0301
ACdream
01-28 954
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2951
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意代码分析实战实验7-1
qq_43481350的博客
09-01 281
实验环境 实验设备环境:windows xp 实验工具:PEID,IDAPro 实验过程 首先可以使用PEID来静态分析导入表: 上图可以发现此dll函数会调用一些有关于服务的API函数,说明此程序很有可能会创建一些服务,其的OpenSCManagerAAPI函数的作用是创建一个到指定服务控制管理器的连接,并且开启这个管理器数据库。保证将服务加入到数据库。 winnet.dll文件调用了两个有关于网络的API函数,第一个是访问网络连接的URL,第二个是初始化一个到互联网的连接。 下面进行IDA分析
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
各种常见压缩壳的入口点以及ESP定律脱法
weixin_34248705的博客
07-08 355
from:[url]http://bbs.chinapyg.com/viewthread.php?tid=7229[/url] 各种常见压缩壳的入口点以及ESP定律脱法: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & LaszloASPack 2.12 -> Alex...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战 英文原版pdf
12-28
恶意代码分析实战,详细介绍了网络安全基本技术。包括:静态分析、动态分析、反汇编、IDA分析
恶意代码分析实战 Lab16
baidu_41108490的博客
06-06 428
lab16-01程序开头就判断了PEB结构,的BeingDebugged是否为为0,如果为0则loc_403573正常执行,否则调用sub_401000接着正常路径走,发现程序又查看了processheap的forceflag标志,同样为0是无调试最后查看了NTGlobalFlag,是否为70h.70则是调试状态然后程序还要求参数不为1看被识别处程序处于调试时函数sub_401000做了什么程序会...
恶意代码分析实战 第三章课后实验
Stronger_99的博客
04-09 698
问题1: 导入函数与字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表进行查看,可以发现,它所要启动的是vmx32to64.exe程序。 通过对...
恶意代码分析实战Lab0902
ACdream
03-04 435
首先动静态结合分析程序首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征在IDA的main可以找到这个这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序,看内存会不会释放出ocl.exe(但是并没有)这里的 strcmp 的 if 语句是肯定需要进去的,即strcmp(v26,v36) = 0...
动态分析基础技术
Hvnt3r的博客
03-06 3787
动态分析基础技术 原文链接:https://hvnt3r.top/2019/01/动态分析基础技术/ 知识点 与静态分析不同,动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程,一般来说,对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节,静态分析与动态分析都有各自的有点以及局限性,本章重点介绍了动态分析的一些手法和技巧。 **用沙箱来分析恶...
恶意代码分析实战 第五章课后实验
Stronger_99的博客
04-10 848
问题1: 用ida打开Lab05-01.dll。就可以看到DllMain的地址为0x1000D02E。 问题2: 点开Imports,找到gethostbyname,双击点进去就可以看到了。 问题3: 单击地址,Ctrl+x。 一共检测到18个,但是并不全是,r为读取不是函数的调用,p才是函数的调用,看地址1047,1365,1656,208F,2CCE。一共有5个...
恶意代码分析实战 Lab 11-1 习题笔记
isinstance的博客
04-02 1667
问题 1.这个恶意代码向磁盘释放了什么? 解答: 我们刚刚完成了Windows内核病毒的分析,包括了一些过时的RootKit技术的分析,现在我们回归二进制分析 这里要分析的文件是Lab11-1这个文件,我们先做一些基本的静态分析 我们先看KERNEL32.DLL这个导出DLL 我们可以看到这里有个我们需要注意的CreateFileA导出函数,还有下面那个ExitProcess函数...
《恶意分析lab07-02实验
最新发布
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值