《恶意代码分析实战》lab1-3

最新推荐文章于 2024-11-18 20:30:33 发布

空空

最新推荐文章于 2024-11-18 20:30:33 发布

阅读量273

点赞数 7

文章标签：安全

本文链接：https://blog.csdn.net/weixin_51588494/article/details/136983797

版权

问题

1.将Lab01-03.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有

的反病毒软件特征吗?

答：我上传了微步云沙箱，大部分软件都检测出来是木马程序

2.是否有这个文件被加壳或混淆的任何迹象?如果是这样，这些迹象是什么?如果该文件被加壳，

请进行脱壳，如果可能的话。

答：有加壳，PEID和沙箱都有检测出。同时，其程序大小特别小只有5kb，字符串等检验工具都无法扫描出信息。

fsg1.0，也是比较基础的加壳，可以使用手动脱壳。

但还没学习，之后尝试一下。在网上找到了集成脱壳工具，覆盖的面还是挺广的。全能脱壳机（linxerUnpacker）绿色中文 - 脱壳工具 - ARP绿色软件联盟 (arpun.com)

脱壳成功

3.有没有任何导入函数能够暗示出这个程序的功能?如果是，是哪些导入函数，它们会告诉你什

么?

答：我没有从程序的导入函数中分析出恶意代码的功能是什么。但在沙箱的动态调试，抓包中发现其访问了许多域名，且一些域名在国外。

4.有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器?

可以查看，计算机，时候有访问境外以及其他奇怪域名的流量行为。

答案也比较简洁

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

空空

关注关注

7
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4

m0_37442062的博客

05-04

1408

Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗？ 2.是否有这个文件被加壳或混淆的任何迹象？如何是这样，这些迹象是什么？如果该文件被加壳，请进行脱壳，如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况，使用linxerUnpacker工具脱壳，使用壳特征脱壳和OEP侦测脱壳均未成功，说明不是已知壳，点击未知壳脱壳，成功。对于脱壳后的exe文

恶意代码分析实战Lab1

ACdream

01-25

1227

0101分析这里可以查看到时间戳如上图，使用PEiD可以侦测壳，发现这个DLL和EXE都是无壳的，VC++6.0编译的接着使用IDA对代码进行简单的静态分析先分析DLL： OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限这里可以看到恶意代码服务端的IP地址：127.26.152.

参与评论您还未登录，请先登录后发表或查看评论

恶意代码分析实战Lab1-3

王陈锋的博客

04-12

665

Lab1-3 分析Lab1.3.exe文件目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象？ 3.有没有任何导入函数能够暗示出这个程序的功能?如果是，是哪些导入函数，它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象？利用PEiD进行分析程序利用FSG1.0进行加壳操作利用ollybdg进行手动脱壳在尝试了一番之后，我发现这个脱完壳后还得进行修复，就搁置在这里。

恶意代码分析实战 Lab 1-3 习题笔记

isinstance的博客

08-28

1414

Lab 1-3问题1.将Lab01-03.exe文件上传….(略)解答：略2.是否有这个文件被加壳或混淆的任何迹象？如果是这样，这些迹象是什么？如果改文件被加壳，请就行脱壳，如果可能的话。解答：这个还是要用老方法看看这里没显示C++或者C什么的，虽然结果也没显示常见的UPX壳，但是无疑这个加壳了的，壳的名称叫做FSG然后我们用Dependency Walker确认一下可以看到很少的导入函数，可以

恶意代码分析实战.part1

08-14

本书一方面从内容上更侧重于恶意代码分析技术与实践方法，而非各类恶意代码的原理技术与检测对抗方法；另一方面更加侧重实用性，能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和技巧。共两部分，此为part1

恶意代码分析实战—实验6-1

qq_43481350的博客

09-01

324

实验环境实验设备环境：windows xp 实验工具：IDAPro，strings，PEID 实验思路 1、采用基础静态分析工具分析目标程序 2、利用IDAPro梳理恶意程序的行为实验过程首先我们使用PEID查看一下程序是否加壳：可以观察到exe程序并没有被加壳，查看其导入表发现：其存在一个InternetGetConnectedState函数，通过查询MSDN（msdn查询函数网址）: 检索本地系统连接的作用。其返回值是如果有网络连接那么就会返回1或者true否则返回0或者false。下

脱壳程序linxerUnpacker

06-15

脱壳程序linxerUnpacker，比较不错的智能脱壳程序，自动查壳解壳！

恶意代码分析实战——静态分析基础技术

A1_3_9_7的博客

12-25

1552

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。干货主要有：①1000+CTF历届题库（主流和经典的应该都有了）②CTF技术文档（最全中文版）③项目源码（四五十个有趣且经典的练手项目及源码）

恶意代码分析实战实验Lab1的1~4题

weixin_42877778的博客

11-05

984

因为选修了恶意代码分析这门课，而《恶意代码分析实战》这本书刚好是本门课对应的教材，因此开始一点点看这本书，然后再做一做后面对应的课程实践，由于基础较差（实际是没有基础）因此需要找很多资料才能找到每个实验具体应该使用什么工具来做，因此在这里记录一下自己的做法和参考链接。实验下载访问书中给定的网址并进行实验下载，由于网址全都是英文书写，以下给出具体下载方式链接：下载点击步骤最终也是转到GitHub中下载：GitHub下载链接第一章实验 Lab1-1 （1）将恶意代码上传到一个网页并分析查看报告。 .

恶意代码分析入门--静态分析（chapter1_Lab01-01）

最新发布

书山有路勤为径，学海无涯苦作舟

11-18

1156

由于dll文件是不能够直接自己来运行的，所以，必须借助exe的外力在后台运行。先看Lab01-01.exe 可以知道并且推测，由于数字1和字母l 在windows中长得太像了，所以可以推测这个程序将Lab-01-01.dll文件改名成了Kerne123.dll文件，实现伪装隐藏。去查询ip.cn发现这是一个内网地址，可见病毒作者处于教学的目的，只随便写了一个内网地址，如果他是一个公网地址，那就很有可能在后台访问这个ip进行一些危险操作。的时间戳，表明了程序是什么时间编译的。如果是，是哪些导入函数？

恶意代码分析实战 Lab1

baidu_41108490的博客

05-13

8660

Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...

恶意代码分析实战实验Lab 1-1

m0_37442062的博客

05-04

1240

Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe：在details里可以看到基础属性、检测历史、命名、PE信息（头、节、导入导出表等）在community可以看到一些沙箱的分析报告等，有助于对样本加深理解。 Lab01-01.dll：同理上传即可 2.这些文件是什么时候编译的? 使用PEView，这里应该有一个Time

恶意代码分析实战 18 64位

农夫果园好好喝的博客

01-25

890

当你运行这个程序却没带任何参数，它会立即退出。main函数有三个参数入栈，分别是一个整数和两个指针。main函数位于0x00000001400010C0处。你可以通过寻找接受一个整数与两个指针作为输入参数的函数调用定位main函数。字符串oc1.exe存储在栈中。这里对字符串进行了检查，如果在不改变二进制程序文件名的前提下，让这个程序运行。为了不修改可执行程序的文件名就能让这个程序运行有效载荷，你需要修补在0x0000000140001213处的jump指令，将其替换为NOP指令。

inetsim虚拟网络服务器,[原创]搭建网络虚拟环境

weixin_39611340的博客

08-06

1678

搭建虚拟恶意软件分析环境前言在分析样本的时，有时会发现样本连接的恶意IP已经失活，需要伪装恶意IP来查看其网络行为，又或者由于样本有扫描等行为，需要获取网络流量，就可以设置这样的分析环境，将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量，又可以避免扫描到内网的其他机器。创建虚拟机需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu，Kali有些问题)，一个...

恶意代码分析实战 Lab3

baidu_41108490的博客

05-15

4113

lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...

恶意代码分析实战——Lab03-01.exe基础动态分析篇

妙蛙种子吃了都会妙妙秒的妙脆角的博客

11-02

4726

恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的综合运用各种分析工具，分析Lab03-01.exe的基本信息，并推测其功能。 2.实验环境（硬件、软件） VMware虚拟机（winxp）：硬件：处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件：32位操作系统 kali虚拟机 3.实验步骤（详细描述操作过程，关键分析需要附截图）（1）静态分析 ①MD5值 ②peid分析可以看到Lab03-01.exe已被加壳处理 ③