《恶意代码分析实战》实验——Labs-06

最新推荐文章于 2021-11-20 21:35:00 发布
最新推荐文章于 2021-11-20 21:35:00 发布
阅读量644 收藏 5
点赞数 3
分类专栏: 病毒分析 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39561364/article/details/108851433
版权

恶意代码 网络连接 文件操作 注册表 分析实战
关键词由CSDN通过智能技术生成

《恶意代码分析实战》实验——Labs-06

记录《恶意代码分析实战》中的实验,提供相关链接:

标题

Labs-06-1实验

  1. 由main函数调用的唯一子过程中发现的主要代码结构是什么?
    1)选中main函数,然后右键查询出它的交叉引用图
    在这里插入图片描述在这里插入图片描述
    2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnectedState函数,同时还有“Success…”和“Error…”的字符串,那么猜测此过程是进行一个连网检测。
    在这里插入图片描述
    3) 查看该过程的结构,鼠标邮件选择“Graph View”;一个CMP 然后一个跳转语句,则应该是个if语句。
    在这里插入图片描述

  2. 位于0x40105F的子过程是什么?
    1) 定位到此位置,发现有三处函数调用
    在这里插入图片描述
    2) 第一个和第三个函数为系统函数,先不管;重点关注第二个函数,先跟进去
    在这里插入图片描述
    3) 发现不太好理解,再用图模式来看看:
    在这里插入图片描述
    4) 这个函数太复杂了,不到万不得已,先不对它挨个分析。我们的目的是分析0x40105F处sub_40105F函数的功能,由于它调用的函数sub_401282太复杂;我们从它被调用的地方来分析,查看其他函数对它的交叉引用,选中sub_40105F,然后按X健,就找到对它调用的地方:
    在这里插入图片描述
    5) 凑巧,这两次调用都是在同一个函数sub_401000中,刚好这个函数在第一个问题中被我们分析过,进入图模式:
    在这里插入图片描述
    6) 发现两次调用都在sub_401000函数的if判定连网的条件中,也就是说不管是否联网都会调用这个函数,同时这两处调用都是将字符串作为参数传递给了函数sub_40105F,我们猜测它是一个字符串打印函数同时还可能附加其他功能(比如发送数据包等)。

  3. 这个程序的目的是什么?
    1) 使用peid进行分析,查看它的导入函数表,发现WININET.DLL中调用了InternetGetConnectedState函数,在Kernel32.dll的函数中并没有其他可疑的函数
    在这里插入图片描述
    2) 结合前面IDA的分析,我们猜测此程序的功能:获取该主机当前网络的连接状态

Labs-06-2实验

  1. Main函数调用的第一个子过程执行了什么操作?
    1) 先进行静态分析
        Strings搜索字符串:发现一些成功和错误的提示字符串,还要一个网址和IE浏览器的版本,猜测可能利用IE浏览器访问目标网址。
    在这里插入图片描述
       Peid进行导入函数分析:发现WININET.DLL库中调用URL访问网址和网络连接状态的函数;KERNEL32.DLL函数中调用了获取当前进程列表等其他无明显恶意操纵意图的函数
    在这里插入图片描述
    2) IDA分析,第一个子过程就是第一个子函数的调用,定位到0x401000
    在这里插入图片描述
    3) 发现该函数就是Lab-06-1实验分析的函数,该过程进行网络连接状态的获取
    在这里插入图片描述
  2. 位于0x40117F的子过程是什么?
    定位到目标地址,该过程和Lab-06-1分析的一样,该函数应该是一个字符串打印函数。
    在这里插入图片描述
    在这里插入图片描述
  3. 被main函数调用的第二个子过程做了什么?
    1) 定位到第二个子函数(子过程)
    在这里插入图片描述
    2) 跟进此函数,发先该函数调用了我们前面用PEID分析的导入WININET.DLL中的函数,也就是说此函数的功能是进行连网操作,向目标网址发送请求。
    在这里插入图片描述
  4. 在这个子过程中使用了什么类型的代码结构?
    1)用图模(Graph view)式对此部分代码进行分析,此过程一个有11个模块
    在这里插入图片描述
    2)从第一个开始分析,该处的跳转是将InternetOpenUrlA函数的返回值与0比较,然后进行跳转,那么此处应该是一个if语句用于判定指定URL请求的结果。
    在这里插入图片描述
    3) 与第一个跳转类似,只不过换了一个函数而已,也是一个if结构语句
    在这里插入图片描述
    4)模块3、4、5、6均采用相同的跳转结构,应该是一个多层if嵌套语句,其中的比较内容分别是字符“<”, “!”,“-”,“-”;这些比较的变量在内存中又是紧挨着的,那么我们猜测者个部分可能是一个字符串匹配过程,匹配的目标是 “<!–”。在第2模块中使用了函数InternetReadFile函数来进行比较,它的两个分支分别转到8和3。其中在模块8中会打印字符串“Error…”,很明显是读取网络数据失败;那么相反地,模块3后面的模块就是网络数据读取成功的逻辑,再结合前面的分析,模块3、4、5和6分支是对读取的网络数据进行字符串“<!–”匹配。等等,网络数据,字符串“<!–” 不就是常见网络数据html的注释符么,那么猜测此部分的功能是对获取的网络数据进行格式检查,检测是否是html文件。
    在这里插入图片描述在这里插入图片描述
  5. 在这个程序中有任何基于网络的指示吗?
    1) 访问访问恶意网址“www.practicalmalwareanalysis.com”
    2) 从该网址获取html文件
    结合前面几个问题的回答,我们可以总结出该程序会通过IE 7.5版本的浏览器访问恶意网址“www.practicalmalwareanalysis.com” 然后从其中获取html文件。
  6. 这个恶意代码的目的是什么?
    结合前面的分析,我们指导该程序的目的是
    1) 获取当前计算机的网络连接状态
    2) 如果连接正常则向恶意网址发送请求
    3) 从恶意网址获取html文件

Labs-06-3实验

静态分析:

  1. 先查壳:无壳 C++ 6.0编写
    在这里插入图片描述
  2. 用PEID进行导入函数分析,三个dll中重要的导入函数分别有
    KERNEL32.dll:创建文件夹、复制文件、删除文件、结束进程、获取系统版本、
    WININET.dll:当前网络状态判定、打开和读取网络文件、利用URL进行网络访问
    ADVAPI32.dll:打开和修改注册表
    在这里插入图片描述
  3. Strings分析其中的字符串,根据这些字符串猜测此程序可能的功能:
    I) 进行网络状态检查
    II) 进行网络连接,向指定的网址发送请求获取指定的文件
    III) 修改注册表
    IV) 恶意程序自启动
    在这里插入图片描述

问题回答

  1. 比较在main函数与6-2的main函数的调用,此main函数调用新的函数是什么?
    回答: 新的函数是 sub_401130
    在这里插入图片描述

  2. 这个新的函数使用的参数是什么?
    回答: 使用了两个参数:分别是一个字符——请求网络文件的第五个字符,一个文件的文件名——当前程序的文件名。
    1)进入该函数进行分析
    在这里插入图片描述
    2) 分析该函数的调用过程:
    在这里插入图片描述
    3) 发现两个函数分别是由变量var_8和argv决定。往前追溯发现,argv是main函数的参数,也就是当前运行程序的文件名;var_8是由函数sub_401040决定.
    在这里插入图片描述
    4) 进入函数sub_401040进行分析,发现这就是Labs-06-2中第4个问题中分析的函数;看看此函数最后对eax的修改,发现除了模块9对al操作外,其他模块均会将al清零,所以返回的内容取决于模块9。
    在这里插入图片描述
    5) 我们在Labs-06-2中第4个问题中分析了该函数的模块3、4、5和6分支是对读取的网络数据进行字符串“<!–”匹配。,其中的模块8和10均会打印字符串“ Error… “,说明它们都是读取文件失败或者匹配失败的逻辑,那么模块9就是正确读取文件后的逻辑。
    在这里插入图片描述
    6) 我们再看看模块9,al 赋值的变量和模块3、4、5和6 的变量很相似,跟进去发现它们处于内存中相邻的地址,根据之前的分析,我们猜测它应该是一个数组;模块9应该是该数组的第5个字符。
    在这里插入图片描述
    因此函数的另一个字符参数就是获取的网络文件的第五个字符

  3. 这个函数主要的代码结构是什么?
    回答: Switch语句
    用图模式分析这个函数,IDA已经明确地分析出这是一个switch语句。
    在这里插入图片描述
    在这里插入图片描述

  4. 这个函数能够做什么?
    回答: 能够在指定文件夹下复制恶意文件并且修改注册表进行自启动。
    1) 分析switch跳转前的功能,传入函数的字符arg_0被赋值为局部变量var_8,然后赋值给ecx,然后减去0x61h (其实是字符“a“),然后根据减去的结果进行switch跳转。
    在这里插入图片描述
    2) 在witch的跳转中,可以非常明显地分辨出左边是具体的跳转,右边是默认的跳转(即defaults)
    3) 分析左边的具体分支的功能
    在这里插入图片描述
    4) 第一个分支,调用CreateDirectoryA进行指定路径文件夹(C:\Temp)的创建
    在这里插入图片描述
    5) 第二个分支,调用CopyFileA函数,并且利用了传入的第二个参数(此应用程序的文件名),说明此分支是在指定路径下(C:\Temp\cc.exe)进行恶意程序的自我复制。
    在这里插入图片描述
    6) 第三个分支,调用函数DeleteFileA,其中的参数(路径)是“C:\Temp\cc.exe “;程序会进行指定程序删除。
    在这里插入图片描述
    7) 第四个分支,调用函数RegOPenKeyExA和RegSetValueExA,根据其中的字符串可以轻松的判定出,此分支将修改注册表将恶意程序(C:\Temp\cc.exe)设置为自启动。
    在这里插入图片描述
    8) 第五个分支,进行睡眠,十六进制0x186A0h的十进制是100000,也就是说会睡眠100秒。
    在这里插入图片描述

  5. 这个恶意代码在有什么本地特征吗?
    1) 注册表的键和值,因为添加了注册启动项。
    2) 指定路径下的文件——“C:\Temp\cc.exe “

  6. 这个恶意代码的目的是什么?
    1) 首先对目标计算机的网络状态进行判断,如果没有网络连接则直接推出,
    2) 如果有网络连接,则向指定网址发送请求并且获取指定网页
    3) 根据获取的网页内容进行程序在指定路径下进行自我复制和开机自启动设置

Labs-06-4实验

    偷了个懒 ~ (* ^ _ ^ *) ~
    请参考i春秋由相关实验的视频 教程

长白山下大绵羊
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_03动态分析基础技术_实验
kitsch0x97的博客
05-13 439
在这个实验使用Lab03-01.exe,使用本章描述的工具和技术来获取关于这些文件的信息,实验使用的文件从下载。
恶意代码分析实战-通过IDA对恶意代码进行静态分析Lab05-01.dll)
最新发布
maluxiao123的博客
10-19 1324
恶意代码分析实战Lab05-01.dll
恶意代码分析实战:静态分析技术
「鸿渐之翼」的博客
08-14 651
恶意代码分析实战专辑 博主:鴻漸之翼 个人介绍:男,搞底層的FW,喜歡發一點沒用的東西。 项目gitee地址: https://gitee.com/hongsofwing/PracticalMalwareAnalysis-Labs 访问我的Gitee 问题 1.使用http://www.VirusTotal.com分析并且查看报告。文件是否匹配到已有的反病毒软件特征? 2.文件编译时间 3.文件是否加壳 4.导入函数显示出了恶意代码是做什么的?有哪些导入函数? 5.是否有其他基于主机的文件迹象? 6.是否有
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-20 4089
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll 1.实验目的 利用IDA Pro分析Lab05-01.dll中发现的恶意代码,回答以下问题: DLLMain的地址是什么? 使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 有多少函数调用了gethostbyname? 将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗? IDA Pro 识别了在0x10001656处的子过程中的多少个局部变量?
恶意代码分析实战Lab0604
ACdream
02-19 267
问题1、2:分析main函数多的结构是for循环。表示多次重复探测问题3:解析HTML的函数并没有看出什么区别……问题4:程序运行的时间根据main中循环变量 i 跑了1440次。当v5 = 1时,即401040函数返回1时,函数每次都会sleep60s也就是1分钟,所以程序会在线1440min = 24h = 1天问题5:程序新的基于网络的迹象以及目的和0603没看出来什么区别...
PracticalMalwareAnalysisLabs(恶意代码习题)
06-06
PracticalMalwareAnalysis-Labs-fanhua为广大恶意代码学习者提供学习的工具以及题库
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
xss-labs-master.rar
05-09
"XSS-labs-master"提供了丰富的实战场景,每个关卡设计了不同的XSS攻击方式,玩家需找出并利用漏洞,实现目标。通过解谜式的学习,可以锻炼寻找、构造和利用XSS的能力。在实践中,你可以学习到如何发现潜在的注入点...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
Practical Malware Analysis
09-26
Malware analysis is big business, and attacks can cost a company dearly. When malware breaches your defenses, you need to act quickly to cure current infections and prevent future ones from occurring. For those who want to stay ahead of the latest malware, Practical Malware Analysis will teach you the tools and techniques used by professional analysts. With this book as your guide, you'll be able to safely analyze, debug, and disassemble any malicious software that comes your way. You'll learn how to: Set up a safe virtual environment to analyze malware Quickly extract network signatures and host-based indicators Use key analysis tools like IDA Pro, OllyDbg, and WinDbg Overcome malware tricks like obfuscation, anti-disassembly, anti-debugging, and anti-virtual machine techniques Use your newfound knowledge of Windows internals for malware analysis Develop a methodology for unpacking malware and get practical experience with five of the most popular packers Analyze special cases of malware with shellcode, C++, and 64-bit code Hands-on labs throughout the book challenge you to practice and synthesize your skills as you dissect real malware samples, and pages of detailed dissections offer an over-the-shoulder look at how the pros do it. You'll learn how to crack open malware to see how it really works, determine what damage it has done, thoroughly clean your network, and ensure that the malware never comes back. Malware analysis is a cat-and-mouse game with rules that are constantly changing, so make sure you have the fundamentals. Whether you're tasked with securing one network or a thousand networks, or you're making a living as a malware analyst, you'll find what you need to succeed in Practical Malware Analysis.
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
PracticalMalwareAnalysisAndLabs (病毒分析入门,包含实验环境)
11-09
PracticalMalwareAnalysis 一本入门的病毒分析丛书,而且压缩包内还包含了实验所需的所有环境,可以帮你从小白开始成长起来
恶意代码分析-lab6
qq_41810304的博客
08-01 607
目录 lab6-1(Lab6-1.exe) lab6-2(Lab6-2.exe) lab6-3(Lab6-3.exe) lab6-4(Lab6-4.exe) 一下实验exe均放进IDA进行反编译。 lab6-1(Lab6-1.exe) 1. 由main函数调用的唯一子过程中发现的主要代码结构是什么? 看到的起始框就是main函数的反编译结果,当然也可以直接在function name栏里直接搜索“main”来找到main函数。之后找到这个唯一的子子过程sub_401000,双击移动到该函数。
恶意代码分析实战Lab0501补充
ACdream
02-17 288
首先是网上的分析writeup:https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/PSLIST:检测操作系统平台为VER_PLATFORM_WIN32_NT;操作系统版本不低于windowsXP(没找到证据)问题14处的时间应该是30s,30000ms问题17:找寻0xED,一个一个翻可...
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2951
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值