Lab03-03.exe恶意代码分析

于 2023-05-17 23:54:19 发布
阅读量274 收藏 2
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51758733/article/details/130737447
版权

Lab03-03.exe
1)静态分析
求恶意代码MD5的值
在这里插入图片描述

利用PEview工具
在这里插入图片描述

猜想Lab03-03.exe也要创建文件和进程。
在这里插入图片描述

未被加壳
用strings查看可见字符串未发现可用信息。
在这里插入图片描述

只能同过peview中显示的函数初步分析恶意代码可能要修改文件
2)动态分析
在这里插入图片描述

没有对注册表进行修改
利用Peocess Explorer文件进行探索
运行以后别没有发现Lab03-03.exe文件而是多了一个svchost.exe文件
在这里插入图片描述

点开exe查看它的磁盘映像和内存映像的字符串列表
在这里插入图片描述
在这里插入图片描述

发现磁盘映像和内存映像不相同 说明恶意代码对内存中的svchost进行了修改
在这里插入图片描述

这几个字符是键盘上的字符串可以判断恶意代码要进行这些操作
利用Process Monitor工具分析svchost PID148.exe文件
在这里插入图片描述在这里插入图片描述

多次出现practicalmalwareanalysis.log文件
因为上面的猜想所以打开这个文件
在这里插入图片描述

猜想可能此代码不是要进行什么操作使用此文件进行监控
在这里插入图片描述

新建一个记事本在上面进行一些键盘的敲击 然后去观察恶意代码文件夹下的文件是否改变
在这里插入图片描述

证实了第二次的猜想 因此分析出此恶意代码的作用是键盘监听器。
3)运行apateDOS查看恶意代码是否有网络行为
在这里插入图片描述

十分钟过后没有反应说明恶意代码没有网络行为
4.实验结论
Lab03-03.exe恶意代码是一个键盘监听器。将本机输入的内容记录到practicalmalwareanalysis.log文件中

404errors
关注
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码Lab03-3分析实验
雩停
03-10 1358
题目 在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。 问题 当你使用Process Explorer工具进行监视时,你注意到了什么? 本次实验环境为虚拟机Windows XP,首先用IDA静态分析Lab3-03.exe,发现包含许多涉及内存、文件、线程的操作,程序的导入函数如下: 先运行Process monito...
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1916
恶意代码分析实战——Lab03-03.exe基础动态分析篇 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
从入门到入土:恶意代码Lab03-03.exe|分析实验|运行截图|问题回答|
Q_U_A_R_T_E_R的博客
11-02 991
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 恶意代码一、概述问题1:当你使用Process Explorer工具进行监视时,你注意到了什么?问题2:你可以找出任何的内存修改行为吗?问题3:这个恶意代码在主机上的感染迹象特征是什么?问题4:这个恶意代码的目的是什么?二、行为预览三、清理方式 一、概述 题目: 在一个安全的环境
恶意代码分析实战 Lab 3-3
王陈锋的博客
04-13 1250
Lab 3-3 目录 Lab 3-3 1、当使用process monitor进行监控的时候,你发现了什么? 2、你可以找出任何的内存修改代码么? 3、这个恶意代码在主机上的感染特征是什么? 1、当使用process monitor进行监控的时候,你发现了什么? 在打开Lab03-03.exe之前,先开监控软件,进行监控。 在process monitor中,发现程序一启动,就有大量的svchost.exe。 在process monitor中,发现没有Lab03-03.exe
恶意代码分析实战3-34
Yale的博客
09-19 424
本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题 Q1使用process explorer工具进行监视时,注意到了什么 Q2可以找出任何的内存修改行为吗 Q3恶意代码在主机上的感染特征是什么 Q4该恶意代码的目的是什么 依次分析。 开启process explorer,然后启动程序lab03-03.exe 此时会发现process explorer一闪而过 ​ 该程序创建了svchost.exe之后,然后自身进程就消失了,将svch
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1660
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
Python库 | jupyterlab-0.24.0-py2.py3-none-any.whl
02-16
`jupyterlab` 是一个强大的交互式计算环境,它是Jupyter项目的一部分,旨在提供一种现代化的工作流程,让数据科学家、研究人员和开发者能够进行数据分析、代码编写以及文档编写等活动。`jupyterlab-0.24.0-py2.py3-...
Lab-03--Shellshock.zip
12-22
在进行网络安全实验,如"Lab-03--Shellshock"时,应模拟攻击场景,学习如何检测和修复漏洞,加深对这类安全问题的理解。通过实践,可以更好地掌握漏洞利用和防护策略,提高网络安全防护能力。同时,实验报告可以帮助...
nachos-lab03
05-24
实现事件栅栏原语并进行正确性测试; 实现闹钟原语并进行正确性测试; 利用事件栅栏和闹钟原语来解决电梯问题
Xilinx-Vivado-SDK-Web-2018.3-1207-2324-Win64.exe
最新发布
04-04
vivado2018.3 windows端安装包
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1470
恶意代码分析实战Lab03-01.exe
恶意代码分析实战——Lab03-01.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4497
恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的 综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。 2.实验环境(硬件、软件) VMware虚拟机(winxp): 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 kali虚拟机 3.实验步骤(详细描述操作过程,关键分析需要附截图) (1)静态分析 ①MD5值 ②peid分析 可以看到Lab03-01.exe已被加壳处理 ③
计算机病毒实践汇总三:动态分析基础(分析程序)
weixin_30865427的博客
05-13 380
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 1. 实践内容 搜索、下载并执行Process Monitor,观察随着时间的推移,软件所记录信息;设置监控条件对恶意代码敏感的功能进行监控。 搜索、下载并执行Process Explorer,查看进程列表,选择相应进程进行签名验证,对比其硬盘上的文件和内存中的镜像,结合Dependency Walker对其...
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 906
Lab03-04 使用基础的动态行为分析工具来分析Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4075
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
恶意代码分析实战 Lab 3-3 习题笔记
isinstance的博客
09-05 3073
问题1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,Lab03-03.exe会启动svchost.exe,每点一次启动一个 svchost.exe然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)会发现Lab03-03.exe创建了一个svchost.exe然后Lab03-03.exe退出
20145233计算机病毒实践7之动态分析3
weixin_30699235的博客
06-13 80
20145233计算机病毒实践7之动态分析3 Lab03-03动静态分析 PEiD 可以看出来没有被加壳了 详细的PE文件信息 Process Explorer 打开proex来实时监控一下,双击打开03-03.exe程序,因为我手速慢没有捕捉到那个一闪而过的程序,只见它留下了一个孤儿进程(pid为2440) 查看一下是否有任何内存修改行为 查看属性选择内存,发现了很多sh...
datalab-utils-0.0.22.tar.gz Python库安装指南
4. 安装完成后,开发者可以通过import语句在Python代码中引入datalab-utils库中的模块或函数进行编程。 不同库的安装细节可能会有所不同,特别是对于非官方发布的库,可能需要额外的步骤或者依赖管理。对于官方发布...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值