恶意代码分析实战第12章实验

最新推荐文章于 2022-10-29 23:07:27 发布
最新推荐文章于 2022-10-29 23:07:27 发布
阅读量488 收藏 3
点赞数 1
分类专栏: 逆向分析 x86反汇编 文章标签: 网络安全 c语言 反汇编 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487541/article/details/123283081
版权

Lab 12-1

首先还是一样,peid进行查壳,发现无壳后查看导入表。导入表中发现CreateRemoteThread、VirtualAllocEx、LoadLibrary等敏感函数。

IDA打开Lab12-01.exe分析,程序使用LoadLibraryA+GetProcAddress分别获取EnumProcessModules、GetModuleBaseNameA和EnumProcesses函数在psapi.dll中的地址。

接下来获取Lab12-01.dll所在的完全路径,并将路径存储在Buffer中。

调用EnumProcesses检索系统中每个进程的pid。

 

 在获得所有pid后进入一个循环:

定位到for循环的主题操作:

0040121C处是对指针操作,对获得的pid数组各元素进行判空;在该元素不为空时指定到00401226处,跟进sub_401000函数查看:

利用OpenProcess、EnumProcessModules和GetModuleBaseNameA函数获得当前pid数组元素的模块值(xxx.exe),然后利用字符串比较xxx.exe与explorer.exe。 所以sub_401000函数既是匹配explorer.exe,成功返回1,失败返回0。

回到主函数中,00401242处判断explorer.exe是否匹配,若是则打开句柄:

否,则在for循环中进行自增操作:

在打开explorer.exe句柄跳出循环后,为其分配内存,将Lab12-01.dll路径写入内存,获取LoadLibraryA在kernel32.dll中的地址,创建远程线程同时起始地址既是LoadLibraryA。

 

将分析线索贯穿一下:Lab12-01.exe首先查找要注入的目标进程(explorer.exe),在目标进程中分配内存、在分配的内存中写入带有恶意DLL的路径、创建起始地址为LoadLibraryA的远程线程,从而线程执行时也就加载了恶意DLL(Lab12-01.dll)。

接下来IDA分析Lab12-01.dll:

DllMain中调用了CreateThread,跟进sub_10001030分析:

  

可以看出这是一个死循环,观察到有字符串"Practical Malware Analysis %d"和打印函数,其中 %d所表参数ecx,在sleep 60000毫秒后,不断的进行add ecx,1的自增操作。跟进StartAddress分析:

 

调用了MessageBoxA函数并且Text参数为"Press OK to reboot"。

将Lab12-01.dll的分析线索整理一下:一个死循环不停地显示一个对话框,对话框显示"Practical Malware Analysis %d"和"Press OK to reboot"

运行如下:

取消弹框有多种方式,选择patched二进制文件,在OD中编辑004011C4处,汇编为jmp 004011C6使程序直接执行结束。

 

 

Sin hx
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1561
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 191
恶意代码实战详细分析
恶意代码分析实战12-01
Yale的博客
09-20 522
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问题: Q1.在你运行恶意代码可执行文件时,会发生什么? Q2.哪个进程会被注入? Q3.你如何能够让恶意代码停止弹出窗口? Q4.这个恶意代码样本是如何工作的? 通过peview载入lab12-01.exe 可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。 再到字符串窗口 可以看到explorer.exe,l
恶意代码分析实战 课后题 Lab12-01
wangtiankuo的博客
08-11 1353
1. 样本概况 病毒名称Lab12-01.exe,运行后有一个命令行窗口,使用Microsoft Visio C++编写。 1.1样本信息 病毒名称:Lab12-01.exe MD5值: DAFBEA2A91F86BF5E52EFA3BAC3F1B16 SHA1值:6A41735369934A212FC90DBD8C847C26270B3FBA 病毒行为:每隔1min弹出窗口。 1.
恶意代码分析实战实验12-1
qq_43481350的博客
09-03 442
实验环境: 实验设备环境:windows xp 实验工具:IDAPro,processmonitor,processexplore 实验过程 首先我们采用IDA打开exe程序,进入imports导入函数窗口: 以上圈出的函数很有可能会是有关于进程注入。 在IDA中查看strings窗口: 我们会观察到很多不常见的dll文件,可能会和注入有关。 1、在你运行恶意代码可执行文件时,会发生什么? 我们会看到会弹出来一个窗口,其会一分钟弹出来一次。 2、哪个进程会被注入? 查看IDA: 可以看到其会调用Lo
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
6. **MATLAB应用**:在MATLAB环境中处理恶意代码数据,如解析PE文件结构,分析二进制流,或者建立恶意行为的数学模型。 7. **安全防护**:学习如何保护系统免受恶意代码攻击,包括更新补丁、使用防病毒软件和实施...
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战实验作业
09-19
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一后面的配套练习,都是作者以自己的实战经验,...
易语言PEID的查壳工具
07-21
易语言PEID的查壳工具源码,PEID的查壳工具,查看导入表,查看基本信息,取父级文本,计算偏差,编辑框_文件,查看区段,查看详情,查看导出表,查看TLS表,查看调试表,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_IMAGE_IMPORT_DES
PEiD(PE Identifier)查壳工具
12-17
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
恶意代码分析实战 --- 第十二 隐藏的恶意代码启动
abelxu
06-09 641
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
恶意代码分析实战12-04
Yale的博客
09-20 799
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
lab1-1 恶意代码分析实战
最新发布
qq_55202378的博客
10-29 1202
恶意代码实战分析
恶意代码分析实战 第十二课后实验
Stronger_99的博客
04-18 701
静态分析: 使用ida打开Lab12-01.exe,打开imports,如下: 这里看到了CreateRemoteThread、WriteProcessMemory和VirtualAllocEx,看到这几个函数就有理由怀疑这是一个进程的注入行为。 看一下字符串,打开strings窗口: 这里看到了几个可以的dll文件,explorer.exe、Lab12-01.dll和psap...
PE文件导入表的代码注入
谢启东的专栏
05-05 8242
 PE文件导入表的代码注入           试想一下,如果通过修改导入表,能把PE格式文件中的函数入口点,重定向到自己的程序中来,是不是很酷!这样,在自己在程序中,可以过滤掉对某些函数的调用,或者,设置自己的处理程序,Professional Portable Executable (PE) Protector也就是这样做的。另外,某些rootkit也使用了此方法把恶意代码嵌入
恶意代码分析实战 Lab17
baidu_41108490的博客
06-07 471
lab17-01程序运行脚本之后,有三个地方红色高亮第一个是使用sidt获取IDTR寄存器值,然后和FF比较,是FF就跳转到loc_40132D处调用sub_401000函数删除自身第二个使用str来检测,注意三个跳转,其中loc_40124E是程序正常跳转,loc_401336最后还是会调用sub_401000删除程序最后一个在这里,返回值为0DDCC0000h时候正常运行,否则跳转结束程序看一...
读取PE文件的导入表
weixin_34220963的博客
09-08 415
    在上一篇文里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入表等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入表通常位于 .ida...
深度解析:恶意代码实战分析与检测技术
"该文档提供了一系列的恶意代码分析实例,主要涵盖了不同类型的恶意软件,如冰河木马、xueranwyt.exe、2.exe、红蜘蛛样本以及多个gangsir系列样本。通过详细的分析过程,包括进程监测、文件监测、注册表监控和端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值