《恶意代码分析实战》实验——Labs-03

最新推荐文章于 2023-10-27 21:09:08 发布
最新推荐文章于 2023-10-27 21:09:08 发布
阅读量494 收藏 1
点赞数
分类专栏: 逆向 病毒分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39561364/article/details/108474667
版权

《恶意代码分析实战》实验——Labs-03

记录《恶意代码分析实战》中的实验,提供相关链接:

标题

Labs-03-1实验

目标程序在 Win7 系统下无法执行,具体操作见视频。

Labs-03-2实验

1.如何让恶意代码自行安装?

先静态分析
1) Peid 查看导入导出函数,进行分析
操作:首先查看导出函数:可以发现安装和卸载的函数,Install,installA 和uninstallA

在这里插入图片描述
导入函数表格:主要功能有创建进程、获取路径、读取文件、创建线程、修改和创建注册表、创建服务、连网发送请求和进行连接等

在这里插入图片描述
2) String查看可疑字符串,发现可疑的网址“practicalmalwareanalysis.com” 和一些可疑的路径和执行命令。

在这里插入图片描述

在这里插入图片描述

3)执行程序
由于dll程序不能直接运行,需要被exe调用,也就是说它会附着到计算机的某个程序中,但是我们并不知道是哪个程序。因此我们需要在执行前打开ProcessExplorer (PE) 进行监控。
      i) Rundll32 执行dll中的导出install函数进行运行:

在这里插入图片描述

    ii) 在PE中找到依附的主程序是svhost.exe

在这里插入图片描述
2.程序无法在Win32下动态执行,接下来应该根据Regshot, PM (Process Monitor) 和PE (Process Explorer) 中的详细信息进行分析,会发现:

  • 1)刚刚Srings中分析的路径是注册表的值,
  • 2) 会创建一个IPRIP服务
  • 3) 被恶意程序添加到开机启动项中;
  • 4) 利用 PM 和 PE 以及 wireshark 抓包分析 IPRIP 服务:先打开监控软件,然后用 net start IPRIP

Labs-03-3实验

目标程序无法在 Win7 系统下运行

Labs-03-4实验

1.运行这个程序时会发生什么?
   程序会自动删除
静态分析:
1) 查壳:无壳,C++编写

在这里插入图片描述
2) 查看导入函数:

  • a. 会读写复制文件、创建删除文件、获取路径、创建进程等;
  • b. 创建删除服务、打开服务、创建、修改和删除注册表;
  • c. Shell后门
  • d. 连网操作

在这里插入图片描述
3) Strings分析:

  • a. 会发送网络数据包
  • b. 连网进行上传和下载文件
  • c. 还会执行系统命令
  • d. 连接的网址可能是http://www.practicalmalwareanalysis.com

在这里插入图片描述
2. 什么原因导致动态分析无法有效实施?
    程序的运行可能需要参数或者是缺少其他必要的文件
1) 先打开 PM 进行监控(利用filter筛选指定程序名称),然后执行程序:

在这里插入图片描述
2) 查看进程树,发现的确会执行cmd命令,cmd命令的内容就是删除程序本身。

在这里插入图片描述

3.是否有其他方式分析此程序?
   需要通过 逆向分析 的手段去查找。

长白山下大绵羊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1123
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
网络安全恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
什么是恶意代码?
最新发布
luming的博客
10-27 1207
本文旨在分享交流技术,在这里对恶意代码进行全面的介绍和讲解:恶意代码的定义,恶意代码的发展史,恶意代码的相关定义,恶意代码的攻击机制 PE病毒,脚本病毒,宏病毒,浏览器恶意代码,U盘病毒,网络蠕虫
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2567
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意代码分析实战学习笔记(一)
weixin_45870307的博客
11-29 3554
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序的加壳的情况 4.使用dependency walker来探测动态链接函数 常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件 Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表 User32.dll:包含了用户界
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8894
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
xss-labs-master.rar
05-09
"XSS-labs-master"提供了丰富的实战场景,每个关卡设计了不同的XSS攻击方式,玩家需找出并利用漏洞,实现目标。通过解谜式的学习,可以锻炼寻找、构造和利用XSS的能力。在实践中,你可以学习到如何发现潜在的注入点...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
恶意代码分析实战
03-07
恶意代码分析实战
PEiD(PE Identifier)查壳工具
12-17
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
PE导出表查看器(易语言版本)-易语言
06-11
这个源码没记错的话是去年9月份写的,当时本来是打算写一个功能齐全一点的PE工具,例如解析导入表、导出表、重定位表及节表等功能,后来只写了一个解析导出表就放弃了,为什么呢,主要是因为声明结构体比较烦,是一个体力活,所以后面转用VS开发这款工具去了,毕竟头文件里都将结构体定义好了,省事,现在把这个 易语言 版本的解析导出表代码开源。 它可以解析出导出表里正常导出函数,还能解析出导出表里的中转函数,见下图: 写这个工具的过程中发现PEID解析导出表有点问题,见下图 注意这个图里3个红框里的内容,第一个是LORDPE解析的,中间是我自己写的代码解析的,最右边是PEID解析的,可以发现PEID解析导出表时只能正常解析以符号名导出函数,一旦遇到以序号导出函数就会导致错位,图中user32.dll导出的前两个函数是以序号0x5DC和0x5DD导出的并没有导出函数名,而PEID不能正常解析,LORDPE、STUDYPE还有我自己写的代码都能正常解析,至于为什么导出序号那里,我的是从0开始的,而LORDPE和STUDYPE是以0x5DC开始的,那是因为我没有加上序号基数,中间那个蓝色箭头指向就是基数,函数真正的导出序号是要加上这个基数的,只不过我习惯这样表达而已。另外开源前特意把里面变量的名字改成了一看就明白的意思,所以看起来有点奇怪。
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
读取PE文件的导入表
weixin_34220963的博客
09-08 415
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入表等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入表通常位于 .ida...
浅谈恶意代码的研究分析
weixin_68789096的博客
04-25 713
恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑 数据的安全性和完整性的目的。恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用,其中包含了傀儡程序与傀儡网络、Rootkit、社交 工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往,而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济 体。
恶意代码分析实战第11章实验
weixin_41487541的博客
03-04 3042
Lab 11-1 1. 这个恶意代码向磁盘释放了什么? 首先peid查壳后发现无壳,IDA打开Lab11-01.exe分析。发现调用了GetModuleHandleA函数并且参数为0,所以函数的返回值就是Lab11-01.exe文件的句柄。并且在0040120F处将得到的句柄作为参数,调用了sub_401080函数。 跟进sub_401080函数分析,发现首先有对句柄参数的判空。 继续向下分析,发现利用了多个资源相关的API函数,并且确定Lab...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值