恶意代码分析总结

最新推荐文章于 2023-05-17 10:28:03 发布
最新推荐文章于 2023-05-17 10:28:03 发布
阅读量415 收藏
点赞数
分类专栏: 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41038905/article/details/114047423
版权
本文介绍了恶意代码分析中寄存器的作用,特别是FS寄存器在内核态和用户态的应用。FS寄存器指向TEB和PEB,分别对应线程和进程环境块,可用于获取系统关键信息。PEB_LDR_DATA结构体提供了已加载模块的数据,而LDR_DATA_TABLE_ENTRY结构揭示了如ntdll.dll等模块的详细信息。常见的恶意代码技术包括异或解密和散列值加密字符串。
摘要由CSDN通过智能技术生成

寄存器类型:
1、CS:代码段寄存器;

2、DS:数据段寄存器;

3、SS:堆栈段寄存器;

4、FS:标志段寄存器

5、GS:全局段寄存器

6、ES:扩展段寄存器

通过读取FS寄存器指定的内存可以获得很多系统关键信息,内核态是fs = 0x30,用户态 fs = 0x3B,fs在内核态指向_KPCR,用户态指向_TEB。

TEB(Thread Environment Block),线程环境块,也就是说每一个线程都会有TEB,用于保存系统与线程之间的数据,便于操作控制。那么Fs:[0x30]就是PEB进程环境块。

  1. PEB就是当前进程环境,shellcode就可以轻易获取PEB信息,通过偏移0xc获取到了_PEB_LDR_DATA,这个结构体包含有关进程的已加载模块的信息.
    在这里插入图片描述
    LDR_DATA_TABLE_ENTRY结构体包含的数据如下:
    在这里插入图片描述
    比如通过上述的过程成功获取如ntdll.dll,如下所示:
最低0.47元/天 解锁文章
博闻善行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1497
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析(Malicious Mobile Code)
09-10
恶意代码分析(Malicious Mobile Code)
恶意代码分析
weixin_33872566的博客
04-18 164
基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧; 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。 可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘中运...
20155207王雪纯《网络对抗》Exp4 恶意代码分析
weixin_30932215的博客
04-18 72
20155207 《网络对抗》 恶意代码分析 学习总结 实践目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,...
恶意代码总结
m0_61123026的博客
03-12 1329
网络安全
恶意代码分析实例
04-19
### 恶意代码分析实例 #### 一、虚拟环境及所用软件介绍 ##### 1.1 虚拟环境介绍 为了确保系统安全,避免恶意代码对真实环境造成破坏,所有分析均在一个隔离的虚拟环境中进行。本节详细介绍所使用的虚拟环境。 *...
87.恶意代码检测技术详解及总结1
08-03
总结恶意代码检测技术不断发展,从传统的特征匹配到现代的智能分析,都需要结合多种技术以应对不断变化的威胁。作为网络安全学习者,理解这些技术的工作原理并熟练运用,可以更好地保护自己和他人的网络环境。在...
恶意代码可视化检测技术研究综述.docx
06-18
通常对恶意代码文件进行反编译、反汇编、文件结构分析以及控制流与数据流分析,提取程序中的指令、字节序列、文件头部信息等作为静态特征。 恶意代码的字节序列特征通常使用 N-Gram 方法提取。N-Gram 方法需要设置...
深度学习赋能的恶意代码攻防研究进展
04-11
首先,文章分析总结恶意代码攻击的一般流程,包括恶意代码的生成、分发、执行以及传播等环节,并针对这些不同阶段,定位了深度学习赋能攻击和防御的点。深度学习被应用于攻击技术主要可以分为以下五类:(1)...
恶意代码分析(一)
qq_41988448的博客
03-23 1240
病毒分析(一)样本来源样本概况分析环境分析步骤一、初步分析二、调试分析 样本来源 https://www.52pojie.cn/thread-1377686-1-2.html 样本概况 样本信息 Value 样本名称 免费外纪.exe 样本大小 4.62MB(4,853,850 Byte) MD5 bcfc56704ea9b62650bec0349532b7d7 SHA1 176fbfb56e401f1043532377c1b67bd207c32bb9 时间戳 28/10/2
恶意代码分析与防治
The_Green_Hand的博客
12-14 1780
目 录 摘 要 1 关键词 1 Abstract 1 Key words 1 一、恶意代码概述 1 (一)认识恶意代码 1 (二)恶意代码分类 2 二、恶意代码分析技术 3 (一)静态分析方法 3 (二)动态分析方法 4 (三)恶意代码分析流程 4 (四)恶意代码分析实例一 5 (五)恶意代码分析实例二 8 三、恶意代码的防治 10 (一)使用优质的杀毒软件 11 (二)安装正版的应用程序 1...
恶意代码分析方法(一)
shannow_123的博客
02-27 2555
1.哈希值 工具:MD5deeep 用于判定开发者的程序是否被修改 2.查找字符串 帮助了解程序功能属性 3.动态链接函数 工具:DependencyWallker 根据调用的DLL模块中的函数推测功能 常见三大dll模块 user32.dll 是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息 包含图形界面操作,可能为图形化界面 gdi...
恶意代码分析及防治研究
qq_58320839的博客
05-16 443
关于恶意代码的防治手段应基于有效的分析结果而制订,并在不断发展,使之更具威慑力,并能针对日益复杂化的威胁作出回应。这就给未来防治恶意代码提供了一种新思路——通过研究最前沿的技术并将其组合,可以在未来对日益增长的网络威胁发起更有效、更全面和更快速的控制,并提供管理更多样化的消除恶意代码系统。(3)木马(Trojan Horse):木马是指伪装成无害程序但实际上包含恶意代码的软件,通过欺骗用户安装、运行及提供技术支持等手段攻击并掌控系统,开启漏洞隙缝逐步窃取、毁坏关键数据,甚至给攻击者反向控制的权限。
恶意代码分析入门
weixin_44032972的博客
05-21 2016
一、恶意代码的定义         恶意代码:也称恶意软件,在大多数计算机入侵事件中都扮演了重要角色。任何以某种方式来对用户、计算机或网络造成破坏的软件,都可以被认为是恶意代码,包括计算机病毒、木马、蠕虫、内核套件、勒索软件、间谍软件等。         恶意代码分析是一种解剖恶意代码的艺术。 二、恶意代码分析目标   &nbsp
恶意代码分析及防治
最新发布
qq_15156019的博客
05-17 1765
恶意代码分析及防治
恶意代码分析——基础技术篇
Woolemon的博客
04-05 9014
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值