恶意代码分析实战9-3

最新推荐文章于 2023-01-24 20:56:08 发布
最新推荐文章于 2023-01-24 20:56:08 发布
阅读量604 收藏 4
点赞数 1
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117327733
版权

本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题
Q1.lab09-03.exe导入了哪些dll
Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少
Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么
Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么
Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么
Q6当lab09-03.exe调用NetScheduleJobAdd创建一个job时,从哪里获取第二个参数的数据
Q7运行或调试lab09-03.exe时,会看到打印出三块神秘数据。dll1的神秘数据,dll2的神秘数据,dll3的神秘数据分别是什么
Q8如何将dll2.dll加载到IDA中,使得它与ollydbg使用的加载地址匹配

通过peview可以看到
分别导入了以下四个dll
在这里插入图片描述

还有些dll可能在程序运行时加载,需要ida分析,一般会需要loadlibrary

Q1.lab09-03.exe导入了哪些dll
A1.导入的dll有:kernel32.dll、NetAPI32.dll、DLLI.dll和DLL2.dl
在imports窗口找到loadlibrary
在这里插入图片描述

双击
然后ctrl+x,查看交叉引用
在这里插入图片描述

p表示函数调用,r表示读取
我们要关注的调用,先看第一个p
可以看到
在这里插入图片描述

在调用时其第一个参数是dll3.dll
再看一下第二个
在这里插入图片描述

其参数是use32.dll
那么也就是说程序其实一共导入了这六个dll
再看第二个问题
peview载入dll1.dll
在这里插入图片描述

可以看到映像基地址是0x10000000
在这里插入图片描述在这里插入图片描述

dll2,dll3都是如此
Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少
A2.这三个DLL都要求相同的基准地址: 0x 10000000
回答第三个问题
使用od载入
在这里插入图片描述

载入后单击m按钮,显示内存的情况,如上所示
在这里插入图片描述

在上图可以看到dll1地址为10000000,dll2地址为001d0000
这个地址是动态的,可能再做一次,或者在不同系统上就不一样了
而dll3.dll是程序中利用loadLibrary动态加载的
找到地址
在这里插入图片描述

在od中跳到401041
在这里插入图片描述

然后在其下一行下断点,执行,在点击M
在这里插入图片描述

此时就可以看到dll3的地址是001f0000
Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么
A3.dll1地址为10000000,dll2地址为001d0000,dll3.dll地址是001f0000

为了回答第4个问题
ida载入dll1.dll
找到dll1print
在这里插入图片描述

Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么
A4.DLL1Print 被调用,它打印出“DLL 1 mystery data”,随后是一一个全局变量的内容
调用了sub_10001038
跟进去
在这里插入图片描述

可以看到这个函数是有两个参数
在这里插入图片描述

第一个参数是字符串
字符串里有%d,\n。
这种我们之前分析过,其实sub_10001038是printf
第二个参数在eax中
往上看,可知来自dword_10008030
双击查看
在这里插入图片描述

然后ctrl+x查看交叉引用
可以看到一个是w一个是r
关注的是值被改写时是什么情况,所以双击查看第一个
在这里插入图片描述

可以看到它保存的其实就是GetCurrentProcessId的返回值,也就是当前进程的id值
回到ida分析exe
在这里插入图片描述

找到了writefile
看到第一个参数是hfile,保存的是要写入的文件句柄
而第二个参数是要写入的内容,也就是malware….字符串
为了知道文件名称,所以需要分析的是第一个参数
可以看到它其实是dll2returnj的返回值
所以需要ida分析dll2.dll
先看一下dll2print
在这里插入图片描述

这里同样有打印的操作,要打印的数据保存是在eax,来自dword_1000b078
在这里插入图片描述

双击后查看交叉引用,如上图所示
分析w
双击进去
在这里插入图片描述

可以看到之前是调用了createfile,打开temp.txt的句柄就保存在dword_1000b078
前面打印函数打印也就是这个句柄
接下来分析dll2returnj
在这里插入图片描述

主要就是讲dword也就是temp.txt的句柄赋给eax,之后就返回了
回到分析exe的ida
在这里插入图片描述

可以看到,dll2reurnj返回的eax就是temp.txt文件的句柄
那么后面的writefile函数写入的文件也就是temp.txt
Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么
A5.写入的文件名是temp.txt
回到第6个问题
定位到相应位置
在这里插入图片描述

在调用它之前看看发生了什么
在这里插入图片描述

先是加载了dll3.dll到内存中
之后是调用getprocaddress获取dll3.dll中的dll3print的地址
之后call [ebp+var_8]来执行该函数
接着调用getprocaddress获取dll3getstructure的地址
然后call [ebp+var_10]执行该函数
我们使用ida载入dll3.dll
先看dll3print
在这里插入图片描述

和之前的分析过程一样,我们知道它要打印的数据为widecharstr
双击跟进后查看交叉引用
在这里插入图片描述

先看第一处
在这里插入图片描述

可以看到在它之前调用了Multibyteyowidechar
这个函数的作用就是将多字节的形式转换成宽字符的形式
它要转换的内容是lpmultibytestr,其实就是上面的ping…字符串
将其转换成宽字符的形式后将其保存到widecharstr
Q7运行或调试lab09-03.exe时,会看到打印出三块神秘数据。dll1的神秘数据,dll2的神秘数据,dll3的神秘数据分别是什么
A7.神秘数据1是当前进程的标识。神秘数据2是打开temp.xt文件的句柄,神秘数据3是字符串ping www. malwareanalysisbook. com在内存中的位置

接着分析dll3getstructure
在这里插入图片描述

可以看到这个函数有一个参数,将其赋给eax
结合分析exe时看到的调用
在这里插入图片描述

传入的参数是edx
而edx的值是buffer的内容
在这里插入图片描述

而这个buffer其实就是一个局部变量
也就是说在调用dll3strcture时其参数就是局部变量的地址
回到dll3.dll的分析
在获取到地址之后
在这里插入图片描述

把dword的值赋给eax指向的地址中,也就是前面说的buffer
我们跟进,查看交叉引用
在这里插入图片描述

看第一个w的
在这里插入图片描述

可以看到是一系列的move赋值的操作
这些数据的地址会保存在buffer里,而buffer保存在ecx,而之后ecx是作为netschedulejobadd的第二个参数
在这里插入图片描述

这段其实就是at_info结构体的数据
Q6.当lab09-03.exe调用NetScheduleJobAdd创建一个job时,从哪里获取第二个参数的数据
A6.Lab09-03.exe 从DLL3GetStructure中获取NetScheduleJobAdd调用的缓冲区,它动态地解析获得第二个参数的数据

解决最后一个问题
ida载入dll2.dll时选择manual load
在这里插入图片描述

点击ok后会要求我们输入地址
在这里插入图片描述

看看od中dll2的地址
在这里插入图片描述

为1d0000
在ida中输入
启动后如图
在这里插入图片描述

这里的地址是1d1000
是因为这是text段,这和od中看到的是一样的
在这里插入图片描述

说明ida与od加载的地址匹配了
Q8如何将dll2.dll加载到IDA中,使得它与ollydbg使用的加载地址匹配
A8.当使用IDAPro加载DLL时选择手动加载,当提示时,输入新的映像基准地址。本例中,地址是0x1d0000

参考
1.《恶意代码分析实战》

Elwood Ying
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1905
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战第9章实验
weixin_41487541的博客
03-01 689
Lab 9-2 1. 在二进制文件中,你看到的字符串是什么? 首先使用peid进行查看,发现无壳。IDA打开Lab09-02.exe之后查看字符串: 可以看到有一些分配失败提示。 2. 当你运行这个二进制文件时,会发生什么? 什么都不会发生。 3. 怎样让恶意代码的攻击负载运行? 首先IDA中进行静态分析 可以看到获取当前可执行文件的路径函数,又调用了_strrchr函数查找在GetModuleFile...
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 988
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析Lab09-03
m1287578441的博客
06-07 392
恶意代码分析Lab09-03
恶意代码分析实战Lab0903
ACdream
03-04 349
首先动静态结合分析程序跑起来会发现调用了3个DLL,用IDA先来看看main简单猜想DLL1Print()是调用了DLL1,DLL2Print()是调用了DLL2这里的extrn:说明这个函数是由外部实现的,这里是直接的外部调用(extern)调用DLL3Print()函数是采用的不同的姿势先使用LoadLibrary来获取DLL的句柄,接着使用GetProcAddress得到函数入口所以v9是D...
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1584
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
VC实现的添加系统计划任务
01-28
VC实现的添加系统计划任务,十分实用,主要是演示了NetScheduleJobAdd的使用方法
Lab 9-3
bangren3304的博客
02-20 187
Analyze the malware found in the file Lab09-03.exe using OllyDbg and IDA Pro. This malware loads three included DLLs (DLL1.dll, DLL2.dll, and DLL3.dll) that are all built to request the same memo...
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1849
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战》实验——Labs-01
草草君
09-08 624
逆向分析实战实验——Labs-01-1 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 Labs-01-1 实验 1.上传到VT进行分析: 2.文件是什么时候编译的? 操作:用LordPE打开(其他的PE编辑器同样能完成),时间是2010年12月19日。 3.程序是否加壳或者混淆? 操作:用PEID进行检查:dll和exe都未加壳 4.有没有导入函数说明这个程序是做什么的?如果有是哪些函数? 操作:利用Dependency Walker 或者PEID
恶意代码分析实战》实验——Labs-06
草草君
09-28 642
恶意代码分析实战》实验——Labs-06 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战》实验——Labs-06Labs-06-1实验Labs-06-2实验Labs-06-3实验Labs-06-4 Labs-06-1实验 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1)选中main函数,然后右键查询出它的交叉引用图 2)找到sub_1000函数,进入该函数进行分析;发现调用函数InternetGetConnect
恶意代码分析实战—实验7-1
qq_43481350的博客
09-01 277
实验环境 实验设备环境:windows xp 实验工具:PEID,IDAPro 实验过程 首先可以使用PEID来静态分析导入表: 上图可以发现此dll函数会调用一些有关于服务的API函数,说明此程序很有可能会创建一些服务,其中的OpenSCManagerAAPI函数的作用是创建一个到指定服务控制管理器的连接,并且开启这个管理器数据库。保证将服务加入到数据库中。 winnet.dll文件调用了两个有关于网络的API函数,第一个是访问网络连接的URL,第二个是初始化一个到互联网的连接。 下面进行IDA分析
恶意代码分析实战—实验9-2
qq_43481350的博客
09-01 576
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战Lab0902
ACdream
03-04 430
首先动静态结合分析程序首先看strings,可以看到Runtime Error!等一些字符串,不能作为很明显的特征在IDA中的main可以找到这个这可以当成两个字符串看,1qaz2wsx3edc,程序员一眼就认得的另一个是ocl.exe。那不妨先运行下程序,看内存中会不会释放出ocl.exe(但是并没有)这里的 strcmp 的 if 语句是肯定需要进去的,即strcmp(v26,v36) = 0...
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值