20145332卢鑫 恶意代码分析

最新推荐文章于 2024-09-05 11:30:11 发布
最新推荐文章于 2024-09-05 11:30:11 发布
阅读量132 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/lx20145332/p/6648783.html
版权

20145332卢鑫 恶意代码分析

实验内容

恶意代码静态分析

1.使用网站进行分析

分析实验二中生成的病毒程序:
因为生成后才想到名字问题,本来是20145332.exe,扫描时改成了bd5332.exe
886702-20170330215240977-1032731487.png

886702-20170330215455649-24409602.png

通过分析发现,该程序加了壳,是由UPolyX v0.5加的。
可以建立到一个指定的套接字连接,是网络连接
可以自行删除注册表键以及注册表键值
可以看出生成它的IP的一部分以及连接端口号

2.PE Explore

886702-20170331121626539-1434490625.png

可以看出编译时间为2009年4月9日10:33:58
PE文件头的信息以及链接器的版本号为6.0

查看导入表:
886702-20170331122034508-1055240643.png

ADVAPI32.dll:一个高级API应用程序接口服务库的一部分,调用这个dll可以实现对注册表的操控
WSOCK32.dll和WS2_32.dll:创建套接字,发生网络连接
从这些程序中对比运行时的状况。。。就能感觉这个程序不太对。。。

3.PE ID

886702-20170331122433602-552742366.png

在下方显示什么都没找到,但如果是没有加壳的程序,会直接显示出编译器的名称

886702-20170331122643852-1115245889.png

在汇编代码中,就可以直接看到程序是干嘛的

4.Depandence Walker

886702-20170331122852008-1917273483.png

通过这个软件可以看出dll调用

恶意代码动态分析

1.TCP View
886702-20170331132033180-1786064327.png

电脑进行的网络连接真的好多。。。

2.sysmon

安装:
886702-20170331132745867-2070823923.png

编辑xml不成功。。。没解决:
886702-20170331133758930-2018618190.png

3.SysTracer

首先对主机进行一次快照,名字是Snapshot #1
等生成病毒文件后再进行一次快照,名字为Snapshot #2
将主机与Kali连接成功后进行快照,名字为Snapshot #3
通过Kali对主机进行操作后进行快照,名字为Snapshot #4

进行对比1和2:
886702-20170331150046305-1013985160.png

886702-20170331150058305-1749095433.png

注册表发生变化,且电脑中新增了病毒文件(没有显示的原因应该是病毒文件我没有放到电脑的信任区里。。。所以显示有问题)

进行对比2和3:

886702-20170331150759524-1838478928.png

886702-20170331150816867-1498066456.png

886702-20170331150832899-524262684.png

回连成功后多了一个注册表键

进行对比3和4:

886702-20170331151051805-1486907430.png

注册表信息又发生变化

4.Wiershark

886702-20170331151737539-1897694341.png

可以看出双方通信的端口号5332,源目的MAC地址,源目的IP地址,使用了TCP协议

回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

答:可以监控注册表的改变,软件的行为,还有进行网络行为时的IP地址等。
可以使用wireshark捕包软件,可以使用TCPView查看连接,还又这次实验用到的sysmon。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

答:可以使用PEID,Dependence Walker,去专业网站扫描,TCPView等软件。

实验总结与体会

   这次发现可以用来分析的软件有这么多,而且软件之间也会通用性,就是不太好分析。。。可能英语没学好吧。。。但是觉得电脑真的太容易中病毒了!!!以后下软件还是可靠一些的好

转载于:https://www.cnblogs.com/lx20145332/p/6648783.html

R芮R
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
脱壳集合工具
05-26
这里的工具可以脱掉常见壳
脱壳软件1.4
09-27
很多的应用程序制作者为了程序本身更加安全或者是不被破解给程序添加了一层安全壳,但有的朋友可能就喜欢玩破解或者是给程序脱壳,如果你也喜欢那么么你可以试试小编给你带来的这款万能脱壳工具,它拥有强大的查壳及脱壳功能,支持PE文件编辑、导入表抓取、进程内存查看/DUMP等多种实用功能,有需要的朋友可以下载使用哦! 功能介绍 一、查壳功能: 支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。 注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。 二、脱壳功能: 如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。 四、附加数据检测: 可扫描应用程序是否包含附件数据,并提供了附加数据详细的起始位置和大小,可以用Del Overlay按钮和Save Overlay按钮进行相应的处理。 五、支持PEid插件 点Options按钮选择Load Plugins就可以使用PEid的插件功能,无需重启FFI,插件必须放plugins目录下,然后点Plugin>>就可看到相应插件信息。 六、ReBuild PE 功能: 本功能主要是用来对脱壳后的PE文件进行修复,一般可用来解决脱壳后无法重新加壳等问题,使用ReguildPE按钮即可完成此功能。 七、第三方工具支持: 在Options按钮中,点Manage Tools按钮,可以用右键菜单添加/删除IDA/OllyDBG等第三方工具,这样就可以直接在FFI里启动OllyDBG、IDA这些工具来打开当前文件进行反汇编。 八、进程DUMP: TaskView按钮后,可以进行进程的终止,进程中模块内存的dump,目前支持三种dump方式:Dump Full、Dump Partial和Dump Region,还支持自动修正主模块内存镜像大小。
20145332卢鑫 WEB基础
weixin_30552635的博客
05-07 76
20145332卢鑫 WEB基础 实验过程 1、环境配置 2、简单的网页编写 3、javascript相关 1.相关概念:JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。 2.文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。 3.编写验证用户名...
20145212罗天晨 恶意代码分析
weixin_30437847的博客
03-29 83
20145212罗天晨 恶意代码分析 一、实验问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 (1)我们可以使用一些工具帮助自己监测系统,如本次实验中的TCPView,这个程序可以实时监控电脑上的端口信息,如果受到怀疑的恶意代码启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析。 (2...
病毒木马查杀实战第015篇:U盘病毒之脱壳研究
热门推荐
Gleam的专栏
04-20 1万+
前言       由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀。 对病毒样本进行脱壳       按照常规,首先是对病毒进行查壳的工作,这里我所使用的是“小生我怕怕”版的PEiD,之所以用这个版本,是因为经过我的实际测试,常规的PEiD或
华为卢鑫刚详解业界首款5G承载分片路由器:助力5G商用.pdf
10-08
根据给定文件的信息,我们可以深入探讨“华为卢鑫刚详解业界首款5G承载分片路由器:助力5G商用”这一主题。以下是对该主题涉及的关键知识点进行详细解析: ### 一、5G承载分片路由器简介 #### 1.1 5G网络的发展...
计算机系统基础第二次作业及实验
03-20
2. 编译器:了解编译过程的词法分析、语法分析、语义分析和代码生成阶段,以及编译器优化技术。 3. 汇编语言:掌握汇编语言的基本语法,了解指令集体系结构,理解机器码和汇编代码的对应关系。 四、实验内容 ...
基于AVR单片机防盗报警装置的设计与实现.pdf
07-12
在本文中,作者任合和卢鑫探讨了基于AVR单片机的防盗报警装置的设计与实现。该防盗报警系统的设计目标是提供一个价格低廉、体积小、功耗低的防盗解决方案,同时能够避免由于非偷盗行为导致的误报,并能通过无线方式...
分布式网络中的通信信号检测与接收技术研究.pdf
08-08
未来,针对分布式网络中的通信信号检测与接收技术的研究,需要在分析现有技术的基础上,进一步提高信号处理效率,减少干扰影响,增强系统稳健性,以满足日益增长的多媒体传输业务需求。 7. 基金项目支持 本文的研究...
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
万能自动脱壳工具:QuickUnpack_V2.3
02-28
该程序是真正的快速解包的简单解包程序 (UPX, AsPack, PE Diminisher, PE-PACK, 等)。它有小的尺寸并且是相当快的。 Quick Unpack 能脱壳的对象有: ASPack 2.12 UPX 1.xx FSG 1.33 PE Diminisher 0.1 PECompact 1.84 ... IAT 恢复只能在 Win2000/XP/2003 之下使用。
RK3588开发板利用udp发送和接收数据
cumtchw
09-01 646
RK3588开发板利用udp发送和接收数据
TCP/IP网络编程:第18章聊天室
weixin_57112913的博客
09-02 452
其他两个客户端也是类似的,分别发送Hi Yoon反正就是基本上实现了一个群聊的功能。客户端:发送信息给服务端,接收服务端传来的其他客户的信息。服务端:负责连接客户端,转发客户端的信息给其他客户。
网络第五章:多路转接
最新发布
qincjun的博客
09-05 413
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
观测云核心技术解密:eBPF Tracing 实现原理
观测云的博客
09-03 924
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。
JAVA—网络通信
Hismybestlove的博客
09-05 1167
本文是学习网络通信入门和简单了解UDP协议和TCP协议,学习和了解CS架构和简单了解BS架构和HTTP协议
网络编程学习:TCP/IP协议
kkbbaaii的博客
09-01 1620
网络编程学习:TCP/IP协议
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值