恶意代码分析小技巧 -服务的调试

最新推荐文章于 2024-11-09 23:34:47 发布

球童0206

最新推荐文章于 2024-11-09 23:34:47 发布

阅读量388

点赞数 4

分类专栏：恶意代码分析技巧文章标签：安全学习

本文链接：https://blog.csdn.net/weixin_46143580/article/details/135508598

版权

恶意代码分析技巧专栏收录该内容

3 篇文章 0 订阅

订阅专栏

恶意代码分析 -服务的调试

关键就两个点

1.从众多svchost中找到挂载目标服务的进程，获取进程ID
2.让svchost执行到serverMain函数处能中断，不要继续往下运行

病毒案例：

1.释放服务文件到目标文件夹

在这里插入图片描述

2.宿主程序中对 startService 函数下断点
在这里插入图片描述

在这里插入图片描述

3.将目标dll文件进行修改，满足关键点2

将dll文件入口点位置的opcode码修改为 EB FE ,也就是不断的跳转到自身汇编代码位置

在这里插入图片描述

4.执行步骤2中的 startService 函数，让程序创建服务成功，同时获取对应的PID，由于步骤3中的汇编代码修改，会造成程序的循环运行，所以系统运行会比较慢。。。
在这里插入图片描述

5.启动调试器附加对应的PID，之后将原始的opcode码修改回去即可完成服务的调试
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

球童0206

关注关注

4
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

恶意代码分析实战

akdjhf的博客

11-12

934

恶意代码分析实战

「安全众测」CTF_Binary小技巧 - 移动安全.zip

12-04

4. **ROP（Return-Oriented Programming）**：当ASLR（地址空间布局随机化）和DEP（数据执行保护）等防御机制启用时，攻击者可能利用ROP链绕过这些防御，继续执行恶意代码。 5. **权限提升**：在移动安全环境中，...

参与评论您还未登录，请先登录后发表或查看评论

自动化恶意软件检测和清除不足：恶意软件的检测和清除过程未自动化

ZOMO的博客

02-05

691

尽管已经有很多算法和技术被应用于恶意软件的快速识别中，但是现有的方法仍然面临许多局限性以及误报或漏报的困扰 . 例如有些新出现的勒索软件和僵尸网络的传播方式越来越隐蔽，使得传统的方法难以对其作出正确的判断及处理，从而无法及时阻止其扩散造成损失和影响。通过引入机器学习技术和深度学习算法的支持可以实现更为精准的恶意代码的特征提取与分类，并在此基础上建立更为完善的安全威胁模型以更高效地发现和拦截各类型的恶意活动同时也可以减少人工维护的工作量提高效率和准确性。默认密码：fwadmin1。

恶意代码分析实战—实验3-4

qq_43481350的博客

09-01

355

实验环境实验设备环境：windows XP 实验工具：PEID，Strings,process monitor,process explore 实验思路 1、静态分析恶意程序的基本信息 2、监控并分析恶意程序的特征实验过程首先我们先利用静态分析工具PEID进行静态分析：点击子系统之后点击输入表，获得引入的表项如下：我们可以观察到dll引入了copyfile等函数，并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏

恶意软件分析实战02-分析3个恶意程序

輚至消亡

07-15

1433

1. Lab03-01 vt上一搜发现鉴别为恶意软件。拖到PEID内一查，加了一个壳PEncrypt 3.1 Final -> jnukcode。我好气，脱了我一个多小时没脱下来。想想算了,题目要求也就是分析它的行为。打开Promon检测一下。发现了大量注册表和文件操作: 对比下注册表的变化, 发现了该软件有添加自启动行为查询一下内部的字符串, 果然如此: 其内部还发现了一个网站。推测这个名为vmx32to64.exe的程序可能从该网站下载下来或者是自身改...

【恶意代码分析技巧】10-脚本

2401_84578953的博客

09-26

714

脚本类恶意代码分析是比较简单的，因为脚本文件是直接可以看到源码的。同时，脚本代码都是逐行解释逐行执行的，调试分析也是很容易的。虽然简单，但是脚本却因为其灵活多变的代码、丰富强大的功能备受恶意代码作者喜欢，本文将会介绍一些常见的脚本程序，并分析恶意代码在这些脚本中经常用到的技术。恶意代码在脚本文件中最常用的技术是字符串混淆技术，这类混淆无非就是混淆变量名称，混淆函数名称，通过各类字符串处理函数操作字符串和添加无意义代码，字符串混淆的技术很简单，着实没什么可分析的，本文就不细述了。

恶意代码分析实战Lab07——03.exe

sxr__nc的博客

01-08

527

第一步：查看程序的基本信息（无壳）第二步：查看资源信息（没有资源信息）第三步：查看导入表、字符串资源等信息通过查看导入表可以大概猜测一下程序的部分功能：应该是和文件操作有关系，打开一个已经存在文件或者是创建一个新的文件，并对该文件进行操作在查看字符串的时候，可以看到一些可疑的字符串，像图中出现的Kernel32.dll和Kerne132.dll（在这里一个是系统的动态链接库文件而另一...

iapp启动图代码_原创干货 | 【恶意代码分析技巧】10脚本

weixin_39958100的博客

11-20

990

恶意代码分析技巧10-脚本脚本类恶意代码分析是比较简单的，因为脚本文件是直接可以看到源码的。同时，脚本代码都是逐行解释逐行执行的，调试分析也是很容易的。虽然简单，但是脚本却因为其灵活多变的代码、丰富强大的功能备受恶意代码作者喜欢，本文将会介绍一些常见的脚本程序，并分析恶意代码在这些脚本中经常用到的技术。恶意代码在脚本文件中最常用的技术是字符串混淆技术，这类混淆无非就是混淆变量名称，混淆函...

Java代码安全01--调试与反调试

划水的小白白

10-12

1011

一、Java调试 1.1、概念 1.2、调试方式 1.3、调试工具二、IDEA具体的调试方法 2.1、存在源代码的情况下 2.2、不存在源码，但是有jar包 2.3、单个class文件三、反调试 3.1、场景 3.2、IDEA调试的原理 3.3、如何解决

Visual Studio实用调试技巧---让你成为高端的程序员

深入解析C/C++编程技巧，带你探索高效开发之路

08-08

2052

第一次被发现的导致计算机错误的飞蛾，也是第一个计算机程序错误。参考链接Debug 通常称为调试版本，它包含调试信息，并且不作任何优化，便于程序员调试程序。Release 称为发布版本，它往往是进行了各种优化，使得程序在代码大小和运行速度上都是最优的，以便用户很好地使用。return 0;上述代码在Debug环境的结果展示：上述代码在Release环境的结果展示：Debug和Release反汇编展示对比：所以我们说调试就是在Debug版本的环境中，找代码中潜伏的问题的一个过程。

微信小程序-微信转盘抽奖活动代码.rar

09-29

微信小程序是一种轻量级的应用开发平台，由腾讯公司推出，主要应用于移动端，为用户提供便捷的服务和丰富的...通过对源代码的学习和理解，你可以掌握如何在微信小程序中实现动态效果、处理用户交互以及优化性能等技巧。

MATLAB编程实战：恶意代码分析与调试技巧

"MATLAB编程实战教程，英文原版，涉及恶意代码分析和调试技术" 这篇资源是一本关于MATLAB编程的实战指南，特别强调了在编程设计和恶意代码分析中的应用。书中通过实例介绍了如何设置和使用断点进行程序调试。断点是...

MATLAB编程与调试技巧-恶性代码分析

"MATLAB编程-程序调试与恶意代码分析实战" 在编程领域，尤其是使用MATLAB进行编程时，程序调试是至关重要的一个环节。标题提到的"程序调试的进一步说明"着重强调了在处理复杂程序结构如选择结构（条件语句）和循环...

【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】

weixin_46641057的博客

11-09

1097

浪潮集团是中国领先的云计算、大数据服务商，拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业，拥有雄厚的技术实力，但好像对短信被盗刷的安全方面不够重视，测试结果就是随便你怎么攻击都可以，这也有点太开放了，短信验证码难道不要钱吗？这对黑客来说肯定是好消息，弄个简单的脚本就可以搞定。

PHP常用的安全函数作用

sheji888的专栏

11-06

542

这些函数和方法有助于提升PHP应用的安全性，但安全是一个综合性的问题，需要综合使用多种手段，如输入验证、输出编码、会话管理、错误处理等。在PHP开发中，安全是非常重要的一个方面。

【AliCloud】ack + ack-secret-manager + kms 敏感数据安全存储