- 博客(6)
- 收藏
- 关注
RSS订阅原创 《恶意代码分析实战》lab3-1
答:通过dependency walker 这个工具,只发现了一个导入库,估计是被加壳了。使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?通过进程浏览器和注册表比较,会有注册key值的加入。2.这个恶意代码在主机上的感染迹象特征是什么?1.找出这个恶意代码的导入函数与字符串列表?遍历exe文件的字符串,其中有域名信息。
2024-04-26 08:57:46
136
1
原创 恶意代码分析实战——第二章 虚拟环境搭建
一、在VMware Workstation菜单栏 ==> 编辑 ==> 虚拟网络编辑器 ==> 添加网络 ,这里选择一个没用过的网络(我这里选的是2)。防止部分恶意代码存在跨网络感染宿主机的情况。创建虚拟网络,一个虚拟机可以同来运行恶意代码,而第二个虚拟机则提供一些必要的网络服务。编辑INetSim的配置文件:inetsim.conf。我这里使用WIN7进行分析恶意代码,Kali进行提供网络服务。在浏览器中输入任意网址,就可以确认虚拟网络服务器是否搭建成功。将win7与kali的网络都选择为此网络。
2024-03-25 18:27:27
520
原创 《恶意代码分析实战》lab1-4
并放入dependency walker中查看其导入函数,有一个很特殊的urldownloadtofile,从网上下载文件。其中OpenProcessToken函数,可以核验程序是否有执行权限,用于权限审计和安全检查,不同api之间的调剂,对于恶意代码来说是比较重要的获取权限的函数。通过对函数的分析以及云沙箱的报告,该恶意程序的功能大概是,访问修改注册表,修改用户权限,并联网访问特定的URL。没有看见什么,就是在字符串中可以看到的明文,还有注意到就是,在其运行的时候会有一个特定的exe文件进行运行。
2024-03-25 10:39:52
335
原创 《恶意代码分析实战》lab1-3
答:我没有从程序的导入函数中分析出恶意代码的功能是什么。但在沙箱的动态调试,抓包中发现其访问了许多域名,且一些域名在国外。同时,其程序大小特别小只有5kb,字符串等检验工具都无法扫描出信息。如果是这样,这些迹象是什么?如果是,是哪些导入函数,它们会告诉你什。4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?在网上找到了集成脱壳工具,覆盖的面还是挺广的。可以查看,计算机,时候有访问境外以及其他奇怪域名的流量行为。fsg1.0,也是比较基础的加壳,可以使用手动脱壳。
2024-03-24 11:31:30
160
原创 《恶意代码分析实战》lab1-2
答:我目前觉得,这个程序的功能是,运行之后创建一个程序,并进行联网,接受或者传播一下指令信息。主要是WININET.DLL这个导入函数库实现联网的功能。使用操作就,upx.exe -d 文件 这里我可能没有备份文件,所以直接在原文件上进行了脱壳。如果是,是哪些导入函数,它们会告诉你什。有检查出来,他有几个高危行为,还有一个不知道是不是,其kernel.DLL其后缀是大写的,与别的不一样。可以脱壳,从GitHub上下载需要的upx脱壳工具。这是脱壳之后,采用strings扫描出来的。的反病毒软件特征吗?
2024-03-24 10:49:13
226
1
原创 《恶意代码分析实战》lab1-1
答:我觉得是有的,主要有一下几点:导入的函数少,字符串扫描出来的少,同时其分节的虚拟大小与物理大小不一致。答:我觉得导入函数采取的是一些文件性的操作。这里从字符串中扫描,可以看到其改变了系统库的l变成了1,作为被侵入之后的标准。4.是否有导入函数显示出了这个恶意代码是做什么的?5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?2.这些文件是什么时候编译的?7.你猜这些文件的目的是什么?答:我上传的是微步云。
2024-03-20 20:23:32
147
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人