恶意代码分析 关于第三章 Lab03-1

最新推荐文章于 2022-04-13 16:33:31 发布
最新推荐文章于 2022-04-13 16:33:31 发布
阅读量757 收藏 3
点赞数 1
分类专栏: 学习日记 恶意代码分析 文章标签: 恶意代码 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151611/article/details/96917940
版权
恶意代码分析第三章的实验非常有用开启了新世界的大门
摘要由CSDN通过智能技术生成

实际分析过程中,由于process monitor无法在Windows XP系统下使用,故使用火绒剑作为替代工具

环境

VMware® Workstation 15 Pro

apateDNS
ProcessExplorer v16.21.Chs
火绒剑
Strings
Dependency Walker

准备工作

安装相关软件
保存快照
网络模式为,仅主机模式

预览

要执行的实验文件为:

该文件为随书文件

静态分析
  1. 查看字符串
  2. 查看导入表
启动监视环境
  1. 启动火绒剑
    在火绒安全的拓展工具启动火绒剑(或直接启动火绒剑安装版),但不开启监控
    退出火绒安全等安全软件
最低0.47元/天 解锁文章
哒君
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4003
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战Lab3——01
sxr__nc的博客
12-23 758
第一步:查壳 显示无壳,但是根据图片信息可以看出,该程序是用汇编语言编写的 第二部步:查看函数信息 导入表只有一个函数:ExitProcess(因为是应用程序,所以不看导出函数) 第三步:IDA查看反汇编结果: 先查看字符串: 找到可以的字符串,查看交叉引用,显示无交叉引用,接下来看反汇编结果: 定位到关键函数,直接跳转过去,反编译失败,修改堆栈失败,采用动态调试的方式进行进一步的分析: ...
恶意代码分析实战 第三章课后实验
Stronger_99的博客
04-09 694
问题1: 导入函数与字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看,可以发现,它所要启动的是vmx32to64.exe程序。 通过对...
恶意代码分析实战Lab03——04.exe(详细分析
sxr__nc的博客
12-26 996
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
恶意代码分析实战》--第三章:动态基础分析
I have a dream
09-13 403
一、虚拟网络环境配置 配置环境:服务器端kali2.0 客户端win7 1、配置inetsim kali自带inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置链接:http://www.cnblogs.com/hyq20135317/p/5515675.html 2、安装ApateDNS 一开始在x...
Lab 0 - 实验手册1
08-03
**实验手册1 - FPGA开发与安全** 实验手册的目的是引导初学者进入FPGA(Field-Programmable Gate Array)的世界,特别关注于安全相关的应用。本篇内容将深入讲解FPGA开发的基础知识,包括开发板的主要特性、所使用...
ics lab3-buflab
05-13
"lab3-buflab" 可能是该课程第三阶段的实验,它要求学生通过实践来深化对缓冲区的理解。 “csapp lab” 指的是《计算机系统:一种程序员的视角》(Computer Systems: A Programmer's Perspective)这本书的相关实验...
buflab-handout, csapp lab3
12-23
【标题】"buflab-handout, csapp lab3" 是一个计算机科学相关的实验,源自《计算机系统:从程序员的视角》(Computer Systems: A Programmer's Perspective,简称CSAPP)第二版的实验3。这个实验通常关注于软件安全...
upload-labs19-20以及总结1
08-08
1. **文件名过滤**:服务器端检查`save_name`参数,不允许包含如"php", "html", "jsp"等可能含有恶意代码的扩展名。然而,由于只检查了小写的扩展名,我们可以通过将文件名更改为大写(如"PHP")来绕过此检查。这是...
第十九节 宽字节SQL注入-01
最新发布
09-15
宽字节SQL注入基础知识点总结 宽字节SQL注入是一种...为了避免这种攻击,我们需要对数据库的安全机制进行加强,例如使用prepared statements来防止SQL注入攻击,并且需要严格地验证用户输入,避免恶意代码的inject。
apateDNS.exe(需要net framework2.0环境)
04-25
解压即用,需要net framework 2.0以上的环境;XP需要安装net framework2.0,win7不需要再进行安装
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1130
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析-第三章-动态基础分析
每昔的博客
07-27 1174
运行恶意代码        使用沙箱:用作初始诊断:自动执行与分析  缺点              只能简单执行,无法输入控制指令。              不能记录所有事件,只报告基本功能。              沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。        运行代码(.dll):               rundll32.exe程序 ...
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 2948
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
恶意代码实战Lab13-01分析
Cosmopolitan的博客
12-10 476
先用peid查一下信息 没加壳,vc6写的,拖入ida反编译 先从资源段解密信息,后来分析是url 进入decrypt函数,用的是xor 接下来上传信息 这里用od动态调试,获取主机名,strcpy base64加密主机名,这里可以用peid的插件识别出base64算法 用InternetOpenUrlA的get请求上传加密的信息 ...
Lab 3-1
bangren3304的博客
01-08 519
Analyze the malware found in the file Lab03-01.exe using basic dynamic analysis tools. Questions and Short Answers What are this malware’s imports and strings? A: The malware appears to be packe...
恶意代码分析实战——Lab03-01.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4377
恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的 综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。 2.实验环境(硬件、软件) VMware虚拟机(winxp): 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 kali虚拟机 3.实验步骤(详细描述操作过程,关键分析需要附截图) (1)静态分析 ①MD5值 ②peid分析 可以看到Lab03-01.exe已被加壳处理 ③
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1067
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
恶意代码分析实战 Lab 3-1 习题笔记
isinstance的博客
08-29 5322
Lab 3-1问题1.找出这个恶意代码的导入函数于字符串列表。解答: (动态分析建议用winxp pro 32bit,下面你就知道为什么这么建议了)我们用Dependency Walker会发现这个程序只有很少的导入函数,第一是怀疑是不是加壳了然后我们PEiD来看,的确是加壳了然后就开始尝试脱壳了万能脱壳这次不是万能的了目前我们知道的唯一个导入函数就是ExitProcess然后查看一下字符串 前面
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值