恶意代码分析实战 lab1-4

最新推荐文章于 2021-05-04 21:19:23 发布
最新推荐文章于 2021-05-04 21:19:23 发布
阅读量584 收藏 4
点赞数
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/104422485
版权

 

q3:文件是什么时候编译的

载入petools

文夹头-》时间、日期标志

可以看到时间。

 

Q4:

有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么

peid载入

可以看到一些dll

比如advapi32.dll

有一些权限、注册表相关的操作

再比如kernel.dll有很多文件相关的操作

 

 

q6:

这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?

根据提示,resource hacker载入

操作-》保存为二进制文件

然后可以使用peid分析导入表、使用strings看看有没有什么可以的字符串

Elwood Ying
关注
专栏目录
恶意代码分析实战(开坑) LAB1[含实验链接]
Peanuts
04-01 1883
恶意代码分析实战-实验 lab1-1 网站报告分析 上传分析www.virustotal.com pe工具使用分析时间 使用petools工具查看 查壳分析 利用PEID工具查看 调用的函数分析 lab1.exe调用了FindFirstFile``FindNextFile``CopyFile 很有可能病毒在搜索并且尝试复制文件。 查看dll文件,此处调用了CreateProcess``S...
恶意代码分析实战Lab1
ACdream
01-25 1169
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战 第十四章课后实验
Stronger_99的博客
04-24 668
问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: 发现一个HTTP的GET请求,可以看到字符串user-Agent并不是硬编码的。 问题2: 使用ida打开文件Lab14-01.exe,看到函数URLDownloadToCacheFileA,这个函数的作用...
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8583
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1319
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1121
Lab 1-1 对Lab01-01.exe和Lab01-01.dll进行分析 问题 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战Lab03——2.dll、3.exe
sxr__nc的博客
12-24 327
第一步:查看基本信息: 第二步:该程序是DLL,看导函数: 可以看,该程序的导函数有很大的参考意义,基本上已经告诉我们每个导函数的作用 , ...
恶意代码静态分析
qq_41821067的博客
02-23 1017
目录strings 的使用列可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 现一个网址 www.ip.cn用
静态分析基础技术
Hvnt3r的博客
03-06 801
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
关于ida pro的牛逼插件keypatch
热门推荐
冯建华的专栏
08-21 3万+
关于ida pro的牛逼插件keypatch通常ida在修改二进制文件,自带的edit->patch program->assemble 可以修改x86, x64 但是不能修改arm, arm64,移动端逆向该怎么办? 之前arm下可以使用ida-patcher http://thesprawl.org/projects/ida-patcher/ 这个插件,但是必须知道arm指令对应的机器码,使
灰帽python_灰帽 Python之旅11
weixin_39980082的博客
12-10 129
11IDAPYTHON---IDA脚本IDAPro(前身为IlfakGuilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者,Hex-RaysSA(布鲁塞尔)。IDA如今已经能够在大多数平台上运行,能够分析大部分平台的二进制文件,同时提供了一个内置的调试器。IDA的扩展能力也是极其强大的,提供了IDC(IDA的脚本语言)和SDK(让开发者扩展方便IDA插...
恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器
清图出版
05-13 9191
基本信息 作者: (美)Michael Hale Ligh    Steven Adair    Blake Hartstein    Matthew Richard   译者: 胡乔林 钟读航 丛书名: 安全技术经典译丛 版社:清华大学版社 ISBN:9787302274407 上架时间:2012-2-8 版日期:2012 年1月 开本:16开 页码:584
恶意代码分析实战 Lab 1-1 习题笔记
isinstance的博客
08-24 2954
Lab 1-1问题1.将文件上传至http://www.virustotal.com/ 进行分析并查看报告。文件匹配到了已有的反病毒的特征吗?解答:这个上传就行了,不过就是要注意www.virustotal.com已经被墙了2.这些文件是什么编译的?解答: 根据本书结尾附录的方法是 使用PEview来打开文件。对于每个文件,我们可以浏览 IMAGE_NT_HEADERS > IMAGE_
恶意代码分析-第十章-使用WinDbg调试内核
每昔的博客
09-18 1159
目录 笔记 实验 Lab10-1 Lab10-2 Lab10-3 笔记 驱动:Windows设备驱动的简称,是第三方开发商在Windows内核模式下运行代码,常在内存中,负责响应用户态程序的请求。            设备对象不一定是真实的物理设备            应用程序不能直接访问驱动程序             当一个驱动程序首次加载到内核空间中时,调用Dr...
恶意代码分析实战 Lab 10-2 习题笔记
isinstance的博客
02-24 2033
Lab 10-1 问题 1.这个程序创建文件了吗?它创建了什么文件? 解答: 我们依旧先从静态分析开始,这里我们在第一个导入DLL里面注意到的有趣的函数是这个WriteFile,说明这个代码改变这个文件 然后我们看第二个导入DLL的函数有哪些 这里有几个我们已经见过好几次的函数,OpenSCManagerA是用来打开服务管理器的函数,StartServiceA是用来启动...
恶意代码防范实验-Lab04.exe分析
Lauhoman的博客
06-05 1978
实验目的分析含有恶意代码程序Lab04.exe。使用软件 PEiD Ollydbg process monitor 7-Zip WinHex 使用所给文件完成以下问题 这些文件何时编译的? 这两个文件是否有迹象被加壳或混淆?证据何在? 是否有导入函数功能? 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找? 是否有关于网络的恶意代码感染迹象? 1、当你运行该文件时,发生何种现象?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值