Lab03-01.exe恶意代码分析

最新推荐文章于 2024-03-20 20:23:32 发布
最新推荐文章于 2024-03-20 20:23:32 发布
阅读量141 收藏 2
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51758733/article/details/130648586
版权

Lab03-01.exe
1)静态分析
先求出恶意代码文件的MD5的值
在这里插入图片描述

通过PEview文件具体分析恶意代码的PE文件头
在这里插入图片描述

因为PEview分析结果可以得到的信息少之又少 我怀疑此文件被加壳处理。
但是用PEID进行分析发现此文件未被加壳
在这里插入图片描述

其中有个ulfhp名字不清楚但是将其拆解 其反汇编中没有异常操作
继续观察恶意代码可见字符串
在这里插入图片描述

ExitProcess结束调用的进程及其所有的线程windows函数
Kernel32.dll文件的功能是控制系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
在这里插入图片描述

Advapi32.all是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
Ntdll.all文件与上述kernel32.dll文件的功能相同,但是ntdll.all文件要去描述windows本地NTAP的接口。
User.dll文件是windows用户界面相关应用程序接口,用于包括windows处理,基本用户界面等特性,如创建窗口和发送消息。
由这五个函数和dll文件的调用可以简单推测恶意代码要在windows启动时就开始调用Kernel32和Ntdll两个文件来进行内存的占用从而去进行创建窗口或发送消息。
在这里插入图片描述

发现有一个应用程序、一个域名和很多关于注册表的信息,因此接下来可以利用初测表快照工具分析注册表变化
2)动态分析
拍摄两次快照对比
在这里插入图片描述
在这里插入图片描述

显然恶意代码对注册表进行了修改
在这里插入图片描述

结合静态分析两次快照前后恶意文件在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver路径有所变化
根据静态分析所得的可见字符串,恶意文件在此文件夹下添加了一个程序 vmx32to64.exe
在这里插入图片描述

Ws2_32.dll和Wshtcpip.dll库文件说明该恶意文件存在网络行为。
利用Process Monitor文件过滤Lab03-01的写文件得出
在这里插入图片描述

恶意文件在C:\WINDOWS\system32\下创建了一个程序vmx32to64.exe
查看vmx32to64.exe文件的MD5的值
在这里插入图片描述

发现与Lab03-01.exe相同 说明Lab03-01.exe将自己复制到了Vxm32to64位置
3)通过虚拟网络进行分析
需要在Kali中在权限下运行 inetsim代码
在这里插入图片描述

由此可知恶意代码持续访问www.practicalmalwarenalysis.com

4.实验结论
1)通过静态分析可以看到恶意代码的导入函数和可见字符串
2)此代码在主机上的感染是将自己复制到C:\WINDOWS\system32\此位置并修改为vmx32to64.exe,同时根据静态分析时,恶意代码所包含的dll文件,可以得出恶意代码可以通过修改注册表添加自动启动项让开机启动vmx32to64.exe
3)通过虚拟网络分析,可知恶意代码的网络行为 访问www.practicalmalwarenalysis.com网站

404errors
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战课后配套练习
08-28
恶意代码分析实战课后配套练习
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战》lab1-1
最新发布
weixin_51588494的博客
03-20 127
答:我觉得是有的,主要有一下几点:导入的函数少,字符串扫描出来的少,同时其分节的虚拟大小与物理大小不一致。答:我觉得导入函数采取的是一些文件性的操作。这里从字符串中扫描,可以看到其改变了系统库的l变成了1,作为被侵入之后的标准。4.是否有导入函数显示出了这个恶意代码是做什么的?5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?2.这些文件是什么时候编译的?7.你猜这些文件的目的是什么?答:我上传的是微步云。
软件逆向分析-漏洞利用原理(一)
weixin_57421069的博客
10-10 931
Crack小实验 c编写密码验证程序 #include<stdio.h> #define PASSWORD "1234567" int verify_password (char *password) { int authenticated; authenticated = strcmp(password,PASSWORD); //strcmp比较两个字符,若相等返回0 return authenticated; } int main() { int valid_flag
恶意代码分析实战实验Lab 3-1 + Lab 3-2
m0_37442062的博客
05-05 942
Lab 3-1 使用动态分析基础技术分析Lab03-01.exe文件中发现的恶意代码。 问题 1.找出这个恶意代码的导入函数与字符串列表? 使用PEIDstrings 发现有壳,先尝试脱壳。使用linxerUnpacker脱壳失败。 所以说题目中说使用动态分析使用Dependency Walker(PE模块依赖性分析工具)可以看到导入函数。 使用strings查看字符串 比较可疑的字符串 CONNECT %s:%i HTTP/1.0 联网 admin 管理员 vmx32to64.exe 检测虚拟机
软件漏洞分析技术(一)
AlanKSorata的博客
03-13 645
PE (Portable Executable) 是 Win32平台下可执行文件遵守的数据格式。".exe"文件".dll"文件PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被放在不同的节中。典型格式如下:.text 由编译器产生,存放着二进制的机器代码,也是我们反汇编和调试的对象。.data 初始化的数据块,如宏定义、全局变量、静态变量等。.idata 可执行文件所使用的动态链接库等外来函数与文件的信息....
恶意代码静态分析
qq_41821067的博客
02-23 847
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
恶意代码分析实战 Lab1-4 +Lab03-03
iron____的博客
11-19 727
一、实验内容 1、使用PEiDPEToolsStrings等工具完成恶意代码Lab01-04.exe基础静态分析,回答下列问题。 答: 1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 1、文件匹配到了已有的反病毒软件特征。 2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 答:2、没有被加壳或者混淆的迹象 3)这个文件是什么时候被编译的? 3、通
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1468
Lab01-01.exeLab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
HCIE-RS3.0-TS-LAB.exe
05-13
HCIE-RS3.0-TS-LAB.exe
JupyterLab-Setup-Windows.exe
01-14
希望使用jupyter notebook的人群;希望下载Python编译器的人群。
Python库 | jupyterlab-0.24.0-py2.py3-none-any.whl
02-16
python库,解压后可用。 资源全名:jupyterlab-0.24.0-py2.py3-none-any.whl
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 3991
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1225
恶意代码分析实战Lab03-01.exe
恶意代码分析实战11-1
Yale的博客
05-28 373
本次实验我们将会分析lab11-01.exe文件。先来看看要求解答的问题 Q1.这个恶意代码向磁盘释放了什么? Q2.这个恶意代码如何进行驻留? Q3.这个恶意代码如何窃取用户登录凭证? Q4.这个恶意代码对窃取的证书做了什么处理? Q5.如何在你的测试环境让这个恶意代码获得用户登录凭证? Peview载入 ​ 看到了ginadll和一个注册表,怀疑这可能是一个拦截gina的恶意代码 查看导入函数 ​ 可以看到一些操纵注册表和提取资源节的函数 我们看到了名为TAGD的资源节 ​ 可以看到它里面包含一个pe
恶意代码分析实战》课后题第一章
weixin_43988404的博客
03-14 638
Lab 1-1 2、通过PETools查看文件头 Lab01-01.dll Lab01-01.exe 3、通过PEID 未加壳 4、通过Dependency Walker查看导入函数 Lab01-01.dll ws2-32.dll :Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。 Lab01-01.exe msvcrt.dll:的C语言运行库执行文件 创建文件,复制文件 4、5 通过strings查看 Lab...
idea中运行项目出现lab-0.0.1-SNAPSHOT-crypto.jar类无法加载怎么解决
07-14
当在 IntelliJ IDEA 中运行项目时出现 `lab-0.0.1-SNAPSHOT-crypto.jar` 类无法加载的错误,可能是由于以下几个原因引起的: 1. 依赖项问题:请确保 `lab-0.0.1-SNAPSHOT-crypto.jar` 文件已正确添加到项目的依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值