恶意代码分析实战 Lab09-01(1)

最新推荐文章于 2024-08-26 22:18:09 发布
最新推荐文章于 2024-08-26 22:18:09 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 逆向 恶意代码分析实战 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangtiankuo/article/details/77718993
版权

分析报告:

1.     样本概况

病毒名称为Lab09-01.exe,使用Microsoft Visual C++ v6.0编译。

1.1样本信息

病毒名称:Lab09-01.exe

MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C

SHA1值:D6356B2C6F8D29F8626062B5AEFB13B7FC744D54

病毒行为:这一篇只写有参数下它的行为

1.2测试环境及工具

测试环境:WinXP

测试工具:IDA 、OD

2.     具体行为分析

2.1主要行为分析

创建了进程cmd.exe

2.2恶意代码分析

(1)     主要流程就是判断参数,根据所带的参数来决定执行哪些操作。

abcd是密码。这个可以根据伪代码分析得出。

分为不带参数、参数-in、参数-re、参数-c、参数-cc四种情况。接下来分别分析这5种情况。

(2)     参数-in

若带的参数是-in,则安装服务。

(3)     参数-re

若带的参数是-re,则卸载服务

(4)     参数-c

若带的参数是-c,则删除自身并设置注册表配置键

(5)     参数-cc

若带的参数是-cc,则打印注册表配置键

(6)     不带参数,此处的分析放在Lab09-01(2)

3.     总结

当涉及到恶意代码的安装、配置以及移除时,需要密码abcd,如果没有密码abcd是不会进行这些操作的。

wangtiankuo
关注
专栏目录
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1036
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 239
恶意代码实战详细分析
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 763
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
2024年上半年典型网络攻击案例盘点
最新发布
weixin_51725318的博客
08-26 2499
2024年上半年典型网络攻击案例盘点
恶意代码分析实战Lab09补充
ACdream
03-08 440
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
恶意代码分析实战》实验——Labs-09
草草君
10-22 1020
恶意代码分析实战》实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战》实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战》实验——Labs-01
草草君
09-08 775
逆向分析实战实验——Labs-01-1 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-1 实验 1.上传到VT进行分析: 2.文件是什么时候编译的? 操作:用LordPE打开(其他的PE编辑器同样能完成),时间是2010年12月19日。 3.程序是否加壳或者混淆? 操作:用PEID进行检查:dll和exe都未加壳 4.有没有导入函数说明这个程序是做什么的?如果有是哪些函数? 操作:利用Dependency Walker 或者PEID
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战Lab 5-1
m0_37442062的博客
05-05 820
1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置(第一次分析时还有图,再进来就没有了) .text:1000D02E 2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址? .idata:100163CC 3.有多少函数调用了gethostbyname? Jump to xref operand 函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。 4.将精力集中在位于0x10001757处的对gethostbyname的
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1140
Lab 1-1 对Lab01-01.exeLab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 705
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战 第九章课后实验Lab09-02
Stronger_99的博客
04-15 955
问题1: 在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是00401128,让后让OD跳转到此地址: 首先看到了一大串的mov指令 这是将字节移动到栈中的操作,出现了两个0,...
Lab 9-1
bangren3304的博客
01-23 462
Analyze the malware found in the file Lab09-01.exe using OllyDbg and IDA Pro to answer the following questions. This malware was initially analyzed in the Chapter 3 labs using basic static and dy...
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1356
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
Lab09-数组的操作与应用(2019.11.26)
luyibaobao的博客
05-27 607
Lab09-数组的操作与应用 文章目录Lab09-数组的操作与应用1. 冒泡排序【中等】2. 约瑟夫【中等】3. 走楼梯【中等】4. 日历【困难】5. 小明拜访朋友【困难】 1. 冒泡排序【中等】 (数组)79.查阅并理解冒泡排序的过程,编写冒泡排序的函数,输出为升序 如输入: 5 2 3 1 4 5 输出: 1 2 3 4 5 #include <stdio.h> #include <stdlib.h> void temp(int arr[],int n) { int i
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1936
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
c++lab09随笔
qq_36209355的博客
05-28 219
 第5章  多态性     5.1 编译时的多态性与运行时的多态性     5.2 运算符重载     5.3 类型转换     5.4 虚函数5.1多态性是指用一个名字定义不同的函数,这些函数执行不同但又类似的操作,这样就可以用同一个函数名调用不同内容的函数。 多态性包括编译时的多态性与运行时的多态性。(1)编译时的多态性:静态联编支持的多态性称为编译时的多态性,也称静态多态性。 静态联编---...
恶意代码分析实战 Lab 9-1 习题笔记
isinstance的博客
11-13 2088
Lab 9-1问题1.如何让这个恶意代码安装自身?解答: 这个既然开始了动态调试的部分,我们就只用OD来进行操作了,因为这个版本的恶意代码都是针对XP的,所以我打算是把OD装到XP那台运行代码的机器上这里我们还是跟这书上的步骤走走,先摸清摸清一下套路我们先打开OllyDbg,我这个是从官网下载的,原版的1.x的东西,然后大概是这样这里稍微说一下这个OllyDbg调整字体的方式如果你用是吾爱破解版的话
恶意代码研究 -- 功能技术类 -- windows PE恶意代码(二)文件遍历
qq_44370676的博客
01-26 244
文件遍历相关API函数结构体操作流程示例代码IDA反汇编后的伪代码 不管用什么计算机语言写代码,文件遍历都是不可或缺的操作,以便对文件进行批量处理。 对恶意代码来说文件读写就是必备功能了,比如说木马病毒窃取机密文件然后开一个隐秘端口将文件内容发送回去。 相关API 函数 这里用到了windows api提供的FindFirstFile和FindNextFile函数。 msdn对这两个函数的描述: FindFirstFile FindNextFileW FindFirstFile定义如下: 该函数查找指定
upload-labs实战:文件上传漏洞与防御解析
在pass-01环节,需要上传一个PHP文件,但系统提示只允许上传图片格式的文件。 在这个过程中,作者展示了源代码的一部分,这是一个前端的JavaScript函数,用于检查上传文件的类型。函数通过`document....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值