20145120黄玄曦《计算机病毒》动静态分析结合

于 2017-05-30 17:15:00 发布
阅读量81 收藏
点赞数
原文链接:http://www.cnblogs.com/20145120hxx/p/6920828.html
版权

20145120黄玄曦《计算机病毒》动静态分析结合

用各种工具对9-3.exe分析,并回答问题

1 该程序导入了哪些DLL

用PEid查看导入表(或PEexplore),导入了KERNEL32,NETAPI,DLL1,DLL2等4个dll
885218-20170530170311305-1386594718.png

885218-20170530170334633-1226737316.png

用IDA分析,因为动态导入会用到loadLibrary函数,查看该函数交叉引用,可见导入了DLL3,USER32等两个dll
885218-20170530170346524-1601530769.png

885218-20170530170356977-2061809952.png

885218-20170530170404961-1781699683.png

2 三个DLL要求的基地址分别是多少?

用PEid查看,或用IDA查看,三个都是10000000h
885218-20170530170414196-505151937.png

885218-20170530170423133-761507167.png

3 当时用OD调试该程序时,实际分配的基地址分别是多少?

用OD调试9-3.exe,dll1,dll2直接加载,地址如图10000000,003D0000
885218-20170530170431852-833354019.png

用IDA查看,在00401041处调用loadLibrary加载dll3,OD跳转至此,在下面设置断点并运行后可看到地址如图00440000
885218-20170530170440164-52643349.png

4 当该程序调用DLL1.dll中的一个导入函数时,这个导入函数做了什么?

这个 函数是DLLPrint,该函数输出了dword_10008030的值,查看交叉引用可知,这是当前的该进程的进程号
885218-20170530170514477-863001134.png

885218-20170530170522414-1196980152.png

5 当该程序调用writefile函数时,文件名是什么?

writefile函数调用了dll2中dll2print和returnJ函数,returnJ的返回值其实就是dword_1000B078,该值由dll2print获得,1000B078保存的是temp.txt文件的句柄,所以文件名就是temp.txt
885218-20170530170602086-643525665.png

885218-20170530170610243-238652772.png

885218-20170530170617618-1705303607.png

885218-20170530170657039-166253674.png

6 当该程序调用NetScheduleJpbAdd创建一个Job时,从哪里得到第二个参数值?

该参数要从dll3GetStructure函数取得,是一个结构体,用IDA查看,其值从dword_1000B0A0获得,查看交叉引用,可发现改结构体赋值数据
885218-20170530170746243-1878443095.png

885218-20170530170756243-50236431.png

7 该程序打印的三块数据中,三个dll的数据分别是什么?

第一个神秘数据是该进程的进程号,第二个神秘数据是temp.txt的句柄,前面有体现

第三个神秘数据是保存一条ping指令字符串ping www.malwareanalysisbook的地址

用IDA打开dll3,查看dll3Print函数可见,要输出的是wideCharStr的内容
885218-20170530171001164-581876463.png

8 如何将dll2.dll加载到IDA中,使其与OD中加载的地址匹配?

将dll2拖到IDA中,勾选manual load,输入地址3D0000,中间一路yes即可
885218-20170530171415227-1538383889.png

885218-20170530171426211-1011625475.png

885218-20170530171443102-323174805.png

参考资料

动静结合分析效果好

转载于:https://www.cnblogs.com/20145120hxx/p/6920828.html

weixin_30563917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.netLoadLibrary加载dll的问题
wayaoqiang的专栏
12-09 3423
asp.netLoadLibrary加载dll的问题      ///           /// 调用非托管dll          ///           class DLLInvoke          {              [DllImport("kernel32.dll")]              public extern static
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 624
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
20145120黄玄曦计算机病毒》高级静态分析
weixin_30357231的博客
05-22 70
20145120黄玄曦计算机病毒》高级静态分析 1 PSLIST导出函数做了什么? 从EXPORT窗口双击查看PSLIST函数 发现其调用如下图函数,上面一个判断当前的平台(与WIN32比较),操作系统版本(与VISTA比较) 调用API(CreateToolhelp32Snapshot)获取进程列表,配合其他API达到发送进程列表到远端或寻找某个特定进程的目的 2 使用图模式绘制出s...
20145120黄玄曦《网络对抗》恶意代码分析
weixin_30300225的博客
04-04 70
20145120黄玄曦《网络对抗》恶意代码分析 Windows计划任务schtasks 在命令提示符输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"新建计划任务 新建netstatlog.bat文件,内容如下: date /t >> c:\net...
Markdown学习笔记
04-30
Markdown学习笔记
热塑性弹性体,全球前21强生产商排名及市场份额.docx
04-30
热塑性弹性体,全球前21强生产商排名及市场份额
配合eclipse svn插件subclipse-4.3.4版本的javahl
04-30
配合eclipse svn插件subclipse-4.3.4版本的javahl,将其中的features和plugins目录解压到与subclipse-4.3.4插件同一目录下即可。在eclipse 4.31版本上验证有效。
一个基于epoll的多线程 linux c http web服务器.zip
04-30
一个基于epoll的多线程 linux c http web服务器.zip
Bash脚本教程:优雅地管理Java应用.zip
04-30
本Bash脚本用于自化管理Java JAR应用的启、停止及监控。首先检查JAR进程是否在运行,如在运行则安全终止。随后,使用预设的Java参数启JAR文件,并将输出和错误日志重定向至日志文件。启后,脚本持续监控JAR进程状态,确保其在预设时间内成功启。本脚本提供了灵活的配置和错误处理机制,为Java应用的运维管理带来了便捷与可靠性。
嗨淘V12刷任务点赞系统源码+手派单版本.rar
04-30
嗨淘V12刷任务点赞系统源码+手派单版本.rar嗨淘V12刷任务点赞系统源码+手派单版本.rar
Bash脚本教程:Java JAR应用快速启与监控.zip
04-30
本Bash脚本用于自化管理Java JAR应用的启、停止及监控。首先检查JAR进程是否在运行,如在运行则安全终止。随后,使用预设的Java参数启JAR文件,并将输出和错误日志重定向至日志文件。启后,脚本持续监控JAR进程状态,确保其在预设时间内成功启。本脚本提供了灵活的配置和错误处理机制,为Java应用的运维管理带来了便捷与可靠性。
秒懂傅里叶变换matlab程序实现过程
04-30
秒懂傅里叶变换matlab程序实现过程
某大型集团管控制度流程 qy.pptx
04-30
某大型集团管控制度流程 qy.pptx
基于STM32F101单片机设计Bluetooth Sentinel 主板硬件(原理图+PCB)工程文件.zip
04-30
基于STM32F101单片机设计Bluetooth Sentinel 主板硬件(原理图+PCB)工程文件,仅供学习设计参考。
电力公司财务信息化的方向及ERP系统财务模块流程(PPT 223页).ppt
04-30
电力公司财务信息化的方向及ERP系统财务模块流程(PPT 223页).ppt
2024-2030全球与中国太阳能电池测试与分选装置市场现状及未来发展趋势.docx
04-30
2024-2030全球与中国太阳能电池测试与分选装置市场现状及未来发展趋势
基于matlab实现夜间车牌识别程序(1).rar
最新发布
04-30
基于matlab实现夜间车牌识别程序(1).rar
后端开发是一个涉及广泛技术和工具的领域.docx
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
modbus4j-3.0.4.jar
04-30
华为云和阿里云都找不到的古老jar包

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值