Lab03-04.exe恶意代码分析

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量193 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51758733/article/details/130787796
版权

Lab03-04.exe
1)静态分析
MD5求值
在这里插入图片描述

用PEview工具查看PE文件
在这里插入图片描述

因为运行Lab03-04.exe文件是他会自动删除,再根据这三者函数推测恶意代码有自毁功能
由上图可知此恶意代码没有加壳
在这里插入图片描述

证明此文件的确没有被加壳
查看文件可见字符串
在这里插入图片描述

Command.com和COMSPEC可知恶意代码具有网络在这里插入图片描述
行为

出现许多显示错误的字符串暂时不知道什么意思
在这里插入图片描述

出现多次sleep sleep的意思是使程序暂停一段时间
又看到了网址 更加确定此恶意代码有网络行为
2)动态分析
先用Regshot查看注册表是否被修改
在这里插入图片描述

可见注册表被修改暂时看不出发生了什么行为
在使用Process Explorer文件启动Lab03-04.exe时
在这里插入图片描述

只留下了conime.exe这一个程序
Conime.exe此程序允许攻击中访问你的你的计算机,窃取密码和个人数据。
同时此恶意代码自毁不留痕迹
由此猜测此恶意代码通过植入conime.exe文件进入网络进行窃取和破坏。
利用Process Monitor工具然后运行恶意代码 不同的是恶意代码没有自毁
在这里插入图片描述

运用虚拟网络进行分析
在这里插入图片描述

也没有任何的网络行为
实验结论
通过静态分析的一些猜测在动态分析和网络分析中都没有得到证实,但是此而恶意文件在自删除之前建立了一个conime.exe程序但是没有发生任何其他行为。
所以认定此恶意代码只是虚张声势罢了

404errors
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意软件分析——恶意程序特征的经验积累
摔不死的笨鸟的博客
08-14 1123
如果使用strings查看一个程序的字符串很少时,它可能是一个加壳的。这时先用PEiD检测查壳。另外字符串中看到dll说明进程是动态获取。 一、API使用 CreateRemoteThread();运用此函数基本就是病毒了,这是注入的核心函数 。高版本编译环境如同CreateRemoteThreadEx() Svchost.exe通常是service.exe的子进程,正常的svchost.exe...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战——Lab03-01.exe基础动态分析
m0_46687377的博客
11-02 4264
恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的 综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。 2.实验环境(硬件、软件) VMware虚拟机(winxp): 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 kali虚拟机 3.实验步骤(详细描述操作过程,关键分析需要附截图) (1)静态分析 ①MD5值 ②peid分析 可以看到Lab03-01.exe已被加壳处理 ③
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1396
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意程序CrackMe分析(超详细)
weixin_45656365的博客
11-23 2670
恶意程序CrackMe分析(超详细) 一.实验要求: 请依据课堂上所讲解的内容,完成本次的实验,要求: 1、结合你上次自行编写的CrackMe程序,实现“爆破”的逆向分析工作。 2、结合KeyFile.exe文件的内容,采用逆向技术,实现“爆破”操作。 3、采用逆向技术分析KeyFile.exe文件的内容,在不采用“爆破”技术的前提下,编写出符合要求的可以通过程序验证的文件,要求这个文件内容必须包含有你的学号以及中文姓名的拼音。 本次实验需要提交实验报告以及要求3中的程序验证文件。 二.实验目标和使用工具:
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3636
目录 笔记: 实验: Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
Lab03-03.exe恶意代码分析
weixin_51758733的博客
05-17 159
Lab03-03.exe恶意代码分析
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析
m0_46687377的博客
12-09 1376
恶意代码分析实战——Lab06-01.exe~Lab06-04.exe动态分析 1.实验目的 分析Lab06-01.exe~Lab06-04.exe 2.实验环境(硬件、软件) Winxp虚拟机: 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 3.实验步骤 (一)Lab06-01.exe 1、由main函数调用的唯一子过程中发现的主要代码结构是什么? 先声明了一个局部变量var_4,然后调用了InternetGetConn
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
HCIE-RS3.0-TS-LAB.exe
05-13
HCIE-RS3.0-TS-LAB.exe
JupyterLab-Setup-Windows.exe
01-14
希望使用jupyter notebook的人群;希望下载Python编译器的人群。
Python库 | jupyterlab-0.24.0-py2.py3-none-any.whl
02-16
python库,解压后可用。 资源全名:jupyterlab-0.24.0-py2.py3-none-any.whl
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
爱笑的源码博客
05-14 976
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 366
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 968
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
智慧园区EasyCVR视频智能管理方案:构建高效安全园区新视界
TSINGSEE青犀视频官方技术博客
05-15 471
睡岗离岗检测:检测消控室值班员值岗情况,当发生脱岗、睡岗等问题时,即时报警,避免发生事件无人响应情形。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 403
Web应用防火墙的重要性
家用充电桩远程监控安全管理系统解决方案
蓝蜂物联网
05-15 277
本方案旨在通过先进的物联网技术、云计算、大数据分析以及人工智能等科技手段,构建一个集实时监测、异常预警、故障诊断、数据统计、远程控制于一体的智能化平台,确保充电桩的安全运行及用户充电过程的便捷性与安全性。综上所述,家用充电桩远程监控安全管理系统解决方案深度融合物联网、云计算、大数据分析和人工智能等前沿技术,实现了充电桩的精细化、智能化管理,不仅提升了用户充电体验,降低了运维成本,也为能源管理的智能化转型注入了强大动力,具有显著的社会效益和经济效益。家用充电桩远程监控安全管理系统解决方案。
《恶意分析》中的lab07-02实验
06-19
恶意分析是一项极为重要的技能,对于网络安全工作人员而言,研究恶意软件的行为以及解析恶意代码都是非常必要的。而在《恶意分析》这本书中,作者提供了一个lab07-02实验,该实验主要介绍了通过内省来捕获和检测恶意软件的活动。 这个实验首先介绍了一种虚拟化技术,在虚拟环境中安装了一个Windows操作系统,并运行了一个恶意软件样本。通过运行一个内省应用进行监控和捕获,分析恶意软件的行为和活动。这个内省应用可以监控到恶意软件的所有系统调用、网络通讯、文件读写等操作,将这些行为捕获并存储到一个文件中。 在分析这些行为之后,实验进一步介绍了如何使用一些工具对这些数据进行解析和可视化。通过使用Wireshark工具,可以分析恶意软件的网络通讯行为,包括使用的协议、发送的数据等。通过使用Process Monitor工具,则可以分析恶意软件对系统的文件和注册表做了哪些修改。 这个实验的意义在于,通过分析恶意软件的行为和活动,可以更好的了解恶意软件的机理和攻击手段,为后续的恶意软件分析工作打下基础。同时,这个实验还向我们展示了内省技术的重要性和应用场景,这是一项非常有前途的技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值