恶意代码分析实战学习笔记(一)

已于 2023-03-16 16:55:15 修改
阅读量3.5k 收藏 7
点赞数 2
文章标签: 安全
于 2021-11-29 01:21:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45870307/article/details/121593412
版权
本文记录了恶意代码分析的实战学习,包括使用各种工具如md5deep、strings、peid、dependency walker等进行静态分析。介绍了如何查看程序加壳情况、动态链接函数、PE文件头与分节。实验部分涉及文件编译时间、加壳检测、导入函数分析,揭示了潜在的恶意行为,如文件复制、网络活动和系统服务操纵。
摘要由CSDN通过智能技术生成

恶意代码分析实战学习笔记(一)

静态技术分析基础
1.使用md5deep 来识别恶意代码的哈希值
2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。
3.使用peid程序来检查程序的加壳的情况
4.使用dependency walker来探测动态链接函数
常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件
Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表
User32.dll:包含了用户界面组件,如按钮,滚动条以及响应和控制用户操作的组件
Gdi.dll:包含了图像显示与操作函数
Ntdll.dll:Windows内核的接口
Wsock32.dll和 Ws2.dll:联网dll
Wininet.dll:包含了更高层次的网络函数,实现ftp,http,ntp等协议
5.程序导出函数用来与其他程序和代码进行交互
6.pe文件头与分节
.text: .text节包含了cpu执行指令。
.rdata: .rdata通常包含导入与导出函数信息
.data: 包含程序的全局数据。
.pdata:只有在64位中存在,储存异常处理信息
.rsrc:包含由可执行文件所使用的资源,如图标,图片。
.reloc:包含重定位库文件的信息
7.使用pe view分析pe文件
image_file_header可以看得编译时间,
子系统是image_subsystem_windwos_cui的是命令窗口运行,而gui图型界面的值是imag

最低0.47元/天 解锁文章
夏墨233
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《网络安全自学教程》- 恶意代码检测技术
wangyuxiang946的博客
06-25 2149
解析特征匹配、行为检测、云查三种病毒检测技术的实现原理,介绍病毒的分类、传播方式、清除与防护方式。
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1497
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析实战
博文视点(北京)官方博客
05-28 7865
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
恶意代码分析实战——静态分析基础技术
最新发布
A1_3_9_7的博客
12-25 1251
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1332
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 924
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1201
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
学习笔记-第四章 恶意代码分析实战
Yes_butter的博客
03-04 638
第四章 x86反汇编学习 一。计算机系统被描述为以下六个抽象层次。 1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的 复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。 2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们 从更高的机器码层翻译过来,提供了访问硬件的接口...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3548
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
恶意代码分析实战 Lab 1-2 习题笔记
isinstance的博客
08-25 2858
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?解答: 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请进行脱壳,如果可能的话。解答: 因为这个我是看过一遍书才来看这些题目的,所以,可能刚开始看这本书的同学会有些不理解,没事,慢
恶意代码分析实战 Lab 1-3 习题笔记
isinstance的博客
08-28 1300
Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答: 略2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。解答: 这个还是要用老方法看看这里没显示C++或者C什么的,虽然结果也没显示常见的UPX壳,但是无疑这个加壳了的,壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数,可以
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1540
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 647
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 780
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
提升Web编程安全实战笔记与策略
3. 跨站脚本攻击(CSS):通过恶意提交包含执行代码的脚本,攻击者可以劫持用户会话并操纵数据。防御此类攻击需要对用户输入进行严格的输入验证和过滤。 学习Web安全不仅是技术层面的实践,更是对潜在威胁的警惕和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值