20145217《网络对抗》 恶意代码分析

最新推荐文章于 2024-06-16 04:56:11 发布
最新推荐文章于 2024-06-16 04:56:11 发布
阅读量105 收藏
点赞数
文章标签: 操作系统 网络 数据结构与算法
原文链接:http://www.cnblogs.com/jokebright/p/6642187.html
版权

20145217《网络对抗》 免杀原理与实践

知识点学习总结

进行恶意代码分析之前必须具备以下知识:编程、汇编/反汇编、网络基本知识、PE文件结构以及一些常用行为分析软件。

一、在一个已经感染了恶意代码的机器上如何找到病毒文件?

  • 找到恶意代码才能对其分析,找到恶意代码文件就是就是分析的第一步,一般来讲,恶意代码运行必然会创建一个进程,而这个进程就是我们找到他的突破口,一个打开的进程,可以通过任务管理器、Process Explorer等来找到其映像文件的地址,这样就能找到恶意代码文件了

  • 但是,现在的恶意代码可能其自身的进程隐藏,一般来讲,隐藏进程的方式就是“脱链”,在PEB中有三条链表,其中一条链表的指向进程,该链表的每一个元素代表着每一个进程,如果想对某进程隐藏,那么进行“脱链”即可。

二、如何通过静态基础分析获取一些相关信息?

  • 首先,我们用PEID查看一些基本信息,用PE explorer等软件查看导入表,一个程序想对你的电脑进行某些操作,那么它必然会调用系统API,而导入表可以告诉我们这个程序调用了哪些API,我们凭借这些导入函数,可以大致猜测一下这个程序作了什么。

  • 可以对我们提供有效信息的不是只有导入表,查看字符串也经常会有一些意外收获,这个时候我们可以使用微软提供的控制台工具Strings查看程序的字符串信息,通过查看字符串,可以获取很多提示。

三、如何确定恶意代码究竟干了些什么?

  • 这个时候那就需要用到动态基础分析了,别犹豫,上虚拟机,跑起来看看吧,跑之前我们先要打开一些行为监控软件,常用的是微软提供的Process Monitor、Process Explorer等这些软件可以监控到注册表、文件、进程、模块、网络、用户等等等等信息。还可以使用systracer拍摄快照并对比。

  • 很多后门和木马程序还会采用反弹式连接的方式链接到别的主机,这是可以采用nestat、wireshark等抓包工具进行抓包,确定其网络行为,发现攻击的主机,后期杀毒再做针对处理。

实验过程概述

一、virscan扫描结果分析

  • 编译器:visual C++5.0

  • 两大主要行为:网络行为和注册表行为,反弹连接一个IP并修改注册列表。

886760-20170328192526873-2118411090.jpg

二、peid扫描结果分析

  • 结果显然是没有加壳。在这里我们又见到了编译器信息。pied能够显示反汇编代码以及一些地址信息,不过最重要的作用还是查壳脱壳,对文件信息的分析不如接下来的两款PE软件好用。

886760-20170328193327967-456903860.jpg

三、Dependency Walker扫描结果分析

  • 这个软件把程序的dll层级调用列出来了,他调用了什么dll,那些dll又调用了哪些文件。

886760-20170328195443592-1825582850.jpg

  • 通过分析可以得到该程序对注册列表有改动的动作。

886760-20170328195757014-1698063547.jpg

四、PE explorer扫描结果分析

  • 文件头信息:可以看到文件编译时间,连接器等信息。

886760-20170328200138576-777380899.jpg

  • 表信息:这里主要查看第二个导入表,即调用了什么dll。

886760-20170328200558670-597980160.jpg

  • 分节信息:缺点是显示以ascll码表示,看不出所以然来。

886760-20170328200733108-527535627.jpg

五、systracer分析恶意代码回连前后情况

  • 运行程序:多了cad5217.exe这样一个进程。

886760-20170329201526873-583955261.jpg

  • 载入的dll文件:cad5217调用了大量dll文件,很多在之前的引入表中也能看到。

886760-20170329201951811-61265691.jpg

  • 开放端口:可以看到cad5217程序通过tcp连接一个192.168.150.132的443端口。

886760-20170329202151811-1014126913.jpg

六、wireshark分析恶意代码回连前后情况

  • 我们知道443端口是https服务端口,通常采用ssl/tls安全通信协议。这里的大量ssl包和tcp包数据部分都是乱码,是经过加密处理的。

886760-20170329202435639-1077289771.jpg

七、TCPview分析恶意代码回连前后情况

  • 易看出在回连后出现cad5217这个进程,PID为3617,并且具有网络行为是连接另一台主机的https端口。

886760-20170329205507826-293794512.jpg

  • TCPview不仅可以查看还可以结束这个进程,还可以告诉你这个程序在你的机器上那个位置,为清除提供方便。

886760-20170329205730373-892535994.jpg

  • 结束进程后,linux这边显示程序die了。

886760-20170329205738717-195181409.jpg

八、Process monitor查看恶意代码回连前后情况

  • 可以看到回连后程序信息,成功运行、日期时间

886760-20170330153907586-422995350.jpg

  • 可以看到父进程PID,查了一下是windows资源管理器

886760-20170330153912180-1148495445.jpg

886760-20170330153916430-800551094.jpg

九、Process Explorer查看恶意代码回连前后情况

  • 可以看到回连后程序信息

886760-20170329210034217-1772194664.jpg

  • Process Explorer更像一个详细版的任务管理器,把进程的各种信息都直观地展示出来。双击后可以查看各种属性。
  • 具有网络连接行为:

886760-20170329210244983-1292329013.jpg

  • 改程序跟ntdll.dll直接相关。ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。

886760-20170329210256811-220933746.jpg

十、netstat查看恶意代码回连前后情况

  • 可以看到正在联网到192.168.150.132:443,连接时建立的。这个小程序并不是太好用,虽然可以通过建立新任务的方式让它在后台不停地进行记录,但并不详细,当有其他程序时显然用其他程序更好。

886760-20170329215710029-2426127.jpg

  • 还遇到权限不够的问题

886760-20170329222656811-1159531971.jpg

  • 权限解决:勾选以最高权限运行。

886760-20170330114415733-2045259550.jpg

  • 效果图

886760-20170330114545045-1836839577.jpg

十一、sysmon查看恶意代码回连前后情况

  • 安装失败了
    886760-20170329222743326-413026648.jpg

886760-20170329222836358-906554330.jpg

转载于:https://www.cnblogs.com/jokebright/p/6642187.html

weixin_30954265
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
对等网络主动型恶意代码与免疫疫苗的对抗传播模型
03-28
通过深入分析P2P网络中的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型.模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已...
对等网络主动型恶意代码与免疫疫苗的对抗传播模型 (2013年)
05-08
通过深入分析P2P网络中的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型.模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已...
恶意代码分析实战Lab1201
ACdream
05-22 206
分析exe:先看看psapi.dll这个是不是系统dll:系统进程状态支持模块这里可能是对explorer.exe的监听动态运行:每割一段时间会弹框在dll中发现:每隔一分钟会弹框一次用procexp分析explorer.exe,发现是个DLL注入RESTART这个进程一下,就可以注入的dll删掉了直接重启电脑也行说明这个恶意程序是个一次性的...
恶意代码分析实战Lab0301
ACdream
01-28 927
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战 Lab16-01
wangtiankuo的博客
08-30 703
知识点: 一、 使用windowsAPI来探测调试器是否存在反调试技术 IsDebuggerPresent CheckRemoteDebuggerPresent NtQueryInformationProcess OutputDebugString 二、 手动检测数据结构 检测BeingDebugged属性 fs:[30]指向PEB的基地址,PEB基地址偏移为2的地方是BeingD
恶意代码分析实战》读书笔记 简单动态分析
weixin_30740295的博客
04-24 371
本书第三章是动态分析的入门,对进行动态分析最基本的工具和方法进行了简述。 第三章 动态分析基础技术 1. 运行恶意代码 (1)使用恶意代码沙箱 沙箱是一种安全环境中运行不信任程序的安全机制。 用作初始诊断:自动执行与分析 缺点 只能简单执行,无法输入控制指令。 不能记录所有事件,只报告基本功能。 沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。 (2)运行恶意代码 对于...
恶意代码分析实战 Lab 3-2 习题笔记
isinstance的博客
09-04 2967
问题1.你怎样才能让这个恶意代码自行安装?解答: 这个看书上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,来运行恶意代码导出installA函数,便可将恶意代码安装为一个服务 这是怎么发现的呢先使用静态分析技术PEview找到这么五个导出函数然后再用Dependency Walker查看依赖,会发现一些有趣的函数说明代码
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
一种基于深度学习的强对抗性Android恶意代码检测方法.pdf
08-18
"一种基于深度学习的强对抗性Android恶意代码检测方法" 概述:本文提出了基于深度学习的强对抗性Android恶意代码检测方法,旨在解决现有检测方法易被绕过的问题。该方法首先设计了移动应用行为分析方法,结合静态和...
2023年中职网络建设与运维
03-29
现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助 A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
攻防世界问题的概要介绍与分析
05-13
"攻防世界"这一术语广泛应用于网络安全领域,它生动描绘了一个持续演进的技术战场,其中攻击者与防御者围绕着数据保护、系统安全及网络基础设施的完整性展开激烈的智斗。在这个虚拟而又现实交织的舞台上,知识、技能...
Backdoor.Win32.Rbot.dvd 病毒分析
weixin_34368949的博客
09-18 365
病毒标签: 病毒名称: Backdoor.Win32.Rbot.dvd中文名称: VNC爬梯病毒类型: 后门类文件 MD5: 264255319E1368F851D161C50D227212公开范围: 完全公开 危害等级: 5文件长度: 脱壳前1,073,007 字节,脱壳后2,007,040 字节感染系统: Win98以上版本 开发工具: Micr...
win11 修改hosts提示无权限
程序人生的博客
06-13 239
我做了好几个尝试,都没个啥用~比如:右键 管理员身份运行,在其他版本的windows上可行,但是win11不行,我用的是微软账号登录的,所以不算本地用户;第二步,通过命令打开hosts文件,在窗口中输入 notepad C:\Windows\System32\drivers\etc\hosts,回车 ,系统自动打开hosts文件。win11下hosts的文件路径 C:\Windows\System32\drivers\etc>hosts修改文件后提示无权限。第三步,修改hosts,保存,关闭。
linux权限
binhyun的博客
06-15 679
1.指令收尾 (1)打包和压缩相关的说明 (2)bc指令 (3)系统配置 (4)nano指令 2.热键的介绍 3.指令的运行原理 (1)简单理解 (2)进一步说明
源码编译安装LAMP
潇的博客
06-12 878
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
windows命令帮助大全
xiansibao的博客
06-13 563
用法: shutdown [/i | /l | /s | /r | /g | /a | /p | /h | /e] [/f]串行端口: MODE COMm[:] [BAUD=b] [PARITY=p] [DATA=d] [STOP=s]例如: 'FINDSTR "hello there" x.y' 在文件 x.y 中寻找 "hello" 或。- 必须在验证登录的域中的所有服务器上运行 Net Logon 服务。/UNILOG+:文件 :: 以 UNICODE 方式将状态输出到日志文件(附加到现有日志中)。
Windows10 MySQL(8.0.37)安装与配置
最新发布
XLB
06-16 279
新建变量:%MYSQL_HOME%\bin 点击确定,也可以单独在path设置成一条:C:\MySQL\mysql-8.0.37-winx64\bin即可。C:\Mysql\mysql-8.0.37-winx64 (安装路径)工具栏搜索:高级系统设置,或者鼠标右键此电脑>属性>高级系统设置。保存,将my.txt文件后缀改为.ini。编辑my.txt文件,输入以下内容。系统变量找到:Path 点击编辑。解压文件,解压到你想要的位置。(没错就是要点三个确定)新建my.txt文件。点击确定,确定,确定。
liunx操作命令后台运行的命令
keyboard专栏
06-14 309
要将命令在后台运行,你可以使用以下几种方法。具体方法取决于你的操作系统和具体需求。
生成对抗网络代码讲解
09-08
生成对抗网络(GAN)的代码讲解可以通过课程《GAN生成对抗网络实战(PyTorch版)》来学习。该课程提供了全部的代码、课件和数据集下载。在课程中,会详细讲解GAN的基本原理和常见的各种GAN,并结合论文讲解原理,同时演示代码编写过程。 在生成对抗网络中,有两个关键的部分:生成器(Generator)和判别器(Discriminator)。生成器负责生成样本,而判别器负责判断生成器生成的数据的质量。通过让判别器尽可能地分辨真实数据和生成数据,同时让生成器生成的数据越来越接近真实数据,从而提高生成器的质量。 生成器是一个多层前馈神经网络,它的输入是均匀分布的噪音(或随机数),输出是与训练数据维度相同的假数据(Fake data)。生成器的最后一层神经元个数需要与训练数据的特征维度相匹配,而隐藏层的神经元个数可以任意设置。 具体的GAN代码实现可以参考课程提供的代码和示例。在课程中,会有详细的讲解和演示如何使用PyTorch编写GAN的代码,包括生成器和判别器的网络结构、损失函数的定义以及训练过程的实现。 通过学习课程中的代码讲解,你可以深入理解生成对抗网络的实现原理,并且能够根据需要进行相应的修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值