恶意代码分析实战9-2

最新推荐文章于 2021-09-19 22:07:19 发布
最新推荐文章于 2021-09-19 22:07:19 发布
阅读量647 收藏 2
点赞数 1
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117327322
版权

本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下
Q1.在二进制文件中,看到的字符串是什么
Q2当运行这个二进制文件时,会发生什么
Q3怎样让恶意代码的攻击负载(payload)获得运行
Q4在地址0x00401133发生了什么
Q5传递给sub_401089的参数是什么
Q6.恶意代码使用的域名是什么
Q7恶意代码使用什么编码函数来混淆域名
Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么

为了回答第一个问题,直接使用strings.exe查看
在这里插入图片描述

结果如下
在这里插入图片描述

可以看到一些导入函数和字符串cmd
Q1.在二进制文件中,看到的字符串是什么
A1.可以看到一些导入函数和字符串cmd
ida载入看到main入口是401128
在这里插入图片描述

ctrl+g跳转到该地址
在这里插入图片描述

下断点,然后执行
在这里插入图片描述

可以看到
在这里插入图片描述

可以看到有一系列的mov指令,将单字节移入到本地变量。
注意到有2个0,也就是2个NULL终止符,意味着其实这是两个字符串
那么具体是什么内容呢?
可以用ida
在这里插入图片描述

全部转换之后如图所示
在这里插入图片描述

或者也可以用od
单步走到这里
在这里插入图片描述

右键
在这里插入图片描述

主要关注下方数据窗口中的内容
单步走
在这里插入图片描述

可以看到缓冲区里的这些字符了
继续单步执行
在这里插入图片描述

这里调用了getmodulefilename
我们看看buffer中的内容
在这里插入图片描述

然后步过
在这里插入图片描述

可看哦了当前程序的完整路径
继续往下单步
看到有调用401550
在这里插入图片描述

切换到ida中分析
在这里插入图片描述

上面的5c表示的是
call的是这个库函数,而od没有分析出来是因为缺乏符号支持
这个函数在这里就是用于查找最后一次出现\的位置,并返回从\开始往后的所有字符,换句话说,就是用于获取当前文件的名称
在od中步过,然后看看返回值,返回值是保存在eax里
在这里插入图片描述

右键,follow in dump
在这里插入图片描述

就看到文件名了
继续单步走
又有个call 4014c0
在这里插入图片描述

不过还是没有解析出名称
可以看到它的两个参数
在这里插入图片描述

到ida中看看
在这里插入图片描述

是strcmp
而我们知道传入的两个参数是不相等的,所以会返回非0值
可以在od中步过
在这里插入图片描述

注意到其返回值为1
继续往下走
在这里插入图片描述

可以看到一个跳转
回到ida分析
在这里插入图片描述

可以看到如果比较一致,则走绿色的线
不一致则走红色的
而我们当前是不一致,也就是走红色
跟过去
在这里插入图片描述

可以看到,就来到了main函数的结束位置
所以我们直接运行原程序时会直接直接退出
Q2当运行这个二进制文件时,会发生什么
A2.它没有做什么就退出了
为了能够运行下去,我们需要修改名称为ocl.exe
Q3怎样让恶意代码的攻击负载(payload)获得运行
A3.运行它之前将它命名为ocl.exe.。

接着重新打开分析
在ida中直接来到strcmp的位置
在这里插入图片描述

地址是401236
在od里定位到这里
下断点,直接执行
在这里插入图片描述

然后步过
在这里插入图片描述

可以看到此时eax的值为0
说明字符串比较成功
继续单步往下
在这里插入图片描述

来到了40124c的位置
在这里插入图片描述

也就是比较成功后来到了这里
看问题4,地址401133处发生了什么
在ida跳到了该地址
在这里插入图片描述

这里就是不断将字符复制到栈空间
Q4.在地址0x00401133发生了什么
A4.一个字符串在栈上被创建,攻击者利用它来混淆静态分析技术和字符串工具中的字符串

第5个问题是,401089函数被传的参数的是什么
在这里插入图片描述

注意到它有两个参数
在od直接跳到这个位置4012bd
在这里插入图片描述

下断点后直接运行
在右下角可以看到第一个参数是之前看到的第一个字符串
另一个参数可以在数据窗口中跟随
在这里插入图片描述

只能看到是一个缓冲区,至于具体内容则无法识别
在这里插入图片描述

接下来跟进这个函数分析f5之后是这样子的
在这里插入图片描述

可以看到它第一个参数就是前面看到不能识别的缓冲区的内容,第二个参数就是1qaz…字符串
Q5.传递给sub_401089的参数是什么
A5.传入sub_401089的参数是字符串1qaz2wsx3edc和-一个数据缓冲区
最关键的部分是这里
在这里插入图片描述

循环操作,两个字符串中依次各取一个进行异或
A7.恶意代码使用什么编码函数来混淆域名
Q7.恶意代码用字符串1qaz2wsx3edc异或加密的DNS名来解密域名
回到od动态地观察
步进这个函数,然后在xor异或这一行下断点
在这里插入图片描述

运行后如上所示
在这里插入图片描述

可以看到ecx此时是46,即缓冲区的第一个字符,而edx是1qaz。。。字符串的第一位
我们先稍微设置下,显示ascii数据
在这里插入图片描述

然后运行一下
在这里插入图片描述

跟踪过去看看
在这里插入图片描述

然后执行看看结果
在这里插入图片描述

可以看到一次解密出一个字符
解密完是这样的
在这里插入图片描述

解密出一个网址
Q6.恶意代码使用的域名是什么
A6.恶意代码使用的域名是practicalmalwareanalysis.com.
继续步过
在这里插入图片描述

调用了gethosybyname
而其参数
在这里插入图片描述

就是刚解析出的网址
该函数调用会返回一个ip地址
在ida中可以定位到这个函数
在这里插入图片描述

如果解析失败则走左边的路,先是sleep,然后是循环刚才分析的过程
如果解析成功则往右边走
在这里插入图片描述

会调用connect进行连接
connect返回之后
在这里插入图片描述

不论走左边还是走右边,都是sleep,然后继续循环
如果调用成功,走右边,在调用sleep之前会调用sub_401000
跟进去
在这里插入图片描述

在createprocess之前的信息可以看出,这是一个反向shell。
传递给CreateProcessA的STARTUPINTO结构被修改了。
可以看到cmd.exe作为参数被传递,CreateProcesA将要运行cmd.exe
这个结构的成员wShowWindow被设置为0,意思就是说会以窗口隐藏的方式运行
在这里插入图片描述

而运行的对象就是cmd.exe
继续分析可以看到
在这里插入图片描述

标准输入输出等都被设置为套接字
这样就绑定了套接字和cmd的标准流
也就是说cmd启动之后,所有经过套接字的数据都将发送给cmd,cmd产生的输出会通过套接字发出
Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么
A8.恶意代码设置stdout. stderr和stdin的句柄到socket(被用在CreateProcessA的STARTUPINFO结构中)。由于用cmd作为CreateProcessA的参数调用CreateProcessA,因此通过绑定一一个套接字与命令shell来创建逆向shell


参考:
1.《恶意代码分析实战》

Elwood Ying
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网狐6603(无内核)密码:1qaz2wsx3edc
03-01
网狐6603(无内核)密码:1qaz2wsx3edc 是吧,不用解释,也不能太期待,代码不完整,不过我觉得看看结构就差不多了
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 625
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
Lab 9-2
bangren3304的博客
01-24 97
Analyze the malware found in the file Lab09-02.exe using OllyDbg to answer the following questions. Questions and Short Answers What strings do you see statically in the binary? A: The imports a...
恶意代码分析实战—实验9-2
qq_43481350的博客
09-01 547
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1842
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意软件分析实战04-逆向分析Lab09-02.exe
輚至消亡
09-13 329
首先还是查一下壳, 发现没有加壳, 使用VC++6.0编写 68个杀毒软件, 55个报毒。感觉是有问题的 在一个dll中, 数据节内存大小非常大实际数据没那么大,可能是藏着一个文件在里面 查看下它的导出函数, 很明显该DLL是以服务形式存在的 其中导入了WS2_32.dll,也就是说有网络行为 ...
恶意代码分析实战 Lab 9-2 习题笔记
isinstance的博客
12-19 1462
Lab 9-2 问题 1.在二进制文件中,你看到的静态字符串是什么? 解答: 我们先查看一下静态字符串的在IDA中,这里用IDA来查看比较方便点 这里显示了在二进制文件中的静态字符串 2.当你运行这个二进制文件时,会发生什么? 解答: 运行我就不运行了,书上说了运行之后立刻就退出了,所以还要重置虚拟机,懒得做了,运行会发生的就是立刻退出了这个函数 下面开始二进
恶意代码分析实战Lab0902
ACdream
03-04 396
首先动静态结合分析程序首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征在IDA中的main可以找到这个这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序,看内存中会不会释放出ocl.exe(但是并没有)这里的 strcmp 的 if 语句是肯定需要进去的,即strcmp(v26,v36) = 0...
恶意代码分析实战 第九章课后实验Lab09-02
Stronger_99的博客
04-15 830
问题1: 在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是00401128,让后让OD跳转到此地址: 首先看到了一大串的mov指令 这是将字节移动到栈中的操作,出现了两个0,...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战07-02
Yale的博客
09-19 4154
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战15-1
Yale的博客
05-29 2851
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题 Q1.这个二进制程序中使用了何种对抗反汇编技术? Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程? Q3.这种对抗反汇编技术被使用了多少次? Q4.什么命令行参数会让程序输出“GoodJob”? 首先载入IDA进行分析 0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转 而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的 jz跳转的地方是loc_401010+1,也就是这里 跳转到指
恶意代码分析实战Lab01-03,lab01-04
Yale的博客
07-13 2159
分析lab01-03.exe,lab01-04.exe 先来看lab01-03.exe Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这
恶意代码分析实战14-02
Yale的博客
06-15 858
本次实验我们将会分析lab14-02文件。先来看看要求解答的问题 Q1.这个恶意代码使用哪些网络库?使用这些库的好处和坏处是什么? Q2.恶意代码信令中URL的信息源是什么?这个信息源提供了哪些优势? Q3.恶意代码利用了HTTP协议的哪个方面,来完成它的目的? Q4.在恶意代码的初始信令中传输的是哪种信息? Q5.这个恶意代码通信信道的设计存在什么缺点? Q6.恶意代码的编码方案是标准的吗? Q7.通信是如何被终止的? Q8.这个恶意代码的目的是什么?在攻击者的工具中,它可能会起到什么作用? 运行恶意程序
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值