恶意代码分析实战Lab3

最新推荐文章于 2024-08-14 11:54:52 发布
最新推荐文章于 2024-08-14 11:54:52 发布
阅读量1.4k 收藏 15
点赞数 1
分类专栏: 恶意代码分析实战-诸葛建伟老师 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47038938/article/details/115550533
版权

第三章动态分析基础技术

恶意代码分析实战

参考书目
Michael Sikorski Andrew Honig 著
诸葛建伟 姜辉 张光凯 译
实验是自己做的,图片是自己截的。

操作环境实验工具

吾爱破解:https://www.52pojie.cn/forum.php
破解专用虚拟机:https://www.52pojie.cn/thread-661779-1-1.html
在这里插入图片描述

(如果Win7系统不稳定可以使用吾爱破解专用虚拟机)
1.操作场景:VMware workstation 15.5 + Windows7
VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519
2.实验工具:
ProcessExplorer:https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
ProcessMonitor:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
Strings:https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
PEiD:https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
Regshot:https://sourceforge.net/projects/regshot/
Wireshark:https://www.wireshark.org/
在这里插入图片描述

实验

Lab3-1

使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。
问题
1.
首先用PEiD打开Lab03-01.exe,可以看到Lab03-01.exe是加壳的
在这里插入图片描述
其次看一下导入函数,唯一的导入函数是ExitProcess
在这里插入图片描述

最后通过Strings看一下有哪些字符串
在这里插入图片描述
2.
打开ProcessExplorer和ProcessMonitor
在这里插入图片描述
该恶意代码创建了一个名为WinVMX32的互斥量在这里插入图片描述
并复制自身到C:\Windows\System32\vmx32to64.exe并安装自己到系统自启动项中
在这里插入图片描述
通过创建注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver并将其设置为复制副本的位置
在这里插入图片描述

3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
恶意代码在进行www.practicalmalwareanalysis.com的域名解析
在这里插入图片描述

Lab3-2

使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。
问题
用PEiD打开Lab03-02.dll
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用Strings打开Lab03-02.dll
在这里插入图片描述
在这里插入图片描述
1.
暂时没有找到解决办法…
在这里插入图片描述
2.
3.
4.
5.
6.

Lab3-3

在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。
问题
1.
恶意代码执行了对svchost.exe文件的替换
在这里插入图片描述
2.
内存映像拥有如practicalmalwareanalysis.log和[ENTER]这样的字符串在这里插入图片描述
3.
恶意代码上创建了一个practicalmalwareanalysis.log日志文件
在这里插入图片描述
4.
窃取键盘输入

Lab3-4

使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。
问题
1.
双击运行恶意代码时程序会立即将自身删除
在这里插入图片描述
在这里插入图片描述
2.
3.
(在第九章的实验作业中进一步分析这个恶意代码)
认真是一种态度更是一种责任

MaliciousSoftware
关注
专栏目录
恶意代码分析实战Lab0303
ACdream
01-30 520
这个照例还是先查壳,VC++6.0的 然后使用IDA静态分析Imports和Exports,对几个关键函数进行简单静态分析 问题1:使用工具Process Explorer监视 根据问题的提示,打开Process Explorer,双击运行程序,发现了这个 在程序运行时,调用了svchost.exe。这个二进制程序是个系统文件,结合IDA静态分析,很有可能对这个程序做了恶意
恶意代码分析实战Lab3——01
sxr__nc的博客
12-23 810
第一步:查壳 显示无壳,但是根据图片信息可以看出,该程序是用汇编语言编写的 第二部步:查看函数信息 导入表只有一个函数:ExitProcess(因为是应用程序,所以不看导出函数) 第三步:IDA查看反汇编结果: 先查看字符串: 找到可以的字符串,查看交叉引用,显示无交叉引用,接下来看反汇编结果: 定位到关键函数,直接跳转过去,反编译失败,修改堆栈失败,采用动态调试的方式进行进一步的分析: ...
恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)
qq_43443410的博客
07-18 2635
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3-22.1 你怎样才能让这个恶意代码自行安装?2.2 在安装之后,你如何让这个恶意代码运行起来?2.3 你怎么能找到这个恶意代码是在哪个进程下运行的?2.4 你可以在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息?2.5 这个恶意代码在主机上的感染迹象特征是什么?2
安全防御之恶意代码与防护技术
最新发布
zzz6583zz的博客
08-14 765
恶意代码是指没有作用却会带来危险的代码。通常把未经授权便干扰或破坏计算机系统、网络功能的程序或代码(一组指令)称之为恶意程序。恶意程序包括计算机病毒、木马、蠕虫等。详见恶意代码的防范,不是单靠一种或几种技术就能解决的,而要靠技术、管理以及用户安全意识的共同防范,只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。目前,恶意代码防范方法主要分为两方面:基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。
恶意代码分析实战—实验3-3
qq_43481350的博客
09-01 447
实验环境 实验设备环境:windows XP 实验检测工具:process monitor ,porcess explore 实验思路 1、观察恶意程序创建出的进程 2、分析正常进程与恶意程序进程的不同 3、监控并分析恶意程序的特征 实验过程 1、当使用process monitor进行监控的时候,你发现了什么? 打开process explore之后再打开我们的程序Lab03-03.exe,我们会发现,此程序会创建一个svchost.exe并且将自己隐藏了起来,如下: 可以观察到其是一个孤儿进程,即没有
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1183
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1428
恶意代码分析实战Lab03-01.exe
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1853
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 231
恶意代码实战详细分析
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1928
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1607
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
恶意代码分析实战》实验——Labs-03
草草君
09-08 518
记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-2 实验 1.传至VT。 2.是否被加壳或者混淆?如果加壳,请脱壳。 操作: 1)用PEID检测,发现被加壳: 2)进行深度扫描后发现,是UPX加壳: 3)利用free upx 进行脱壳(脱壳后的程序将会覆盖源程序),发现是由VC++ 6.0编写: 3.有没有导入函数能够暗示出该程序的功能? 操作:利用PEiD进行导入函数查看,会创建互斥、进程和服务,同时进行联网操作。 4.那些基于
恶意代码分析实战——Lab03-02.dll分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4134
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
恶意代码Lab03-3分析实验
雩停
03-10 1308
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码简介
weixin_33898233的博客
04-08 2507
恶意代码(malware)指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。恶意代码主要包括:计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸网络和内核套件等。 计算机病毒:是一种能够自我复制的代码,通过将自身嵌入其他程序进行感染,而感染过程通常需要人工干预才能完成。 蠕虫:可自我复制,通过不需要将自身嵌入到其他宿主程序中,一般不需要人工干预。 恶意移动代码:移动代码指可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值