恶意代码分析实战15-1

最新推荐文章于 2024-06-05 17:41:10 发布
最新推荐文章于 2024-06-05 17:41:10 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117385933
版权

本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题
Q1.这个二进制程序中使用了何种对抗反汇编技术?
Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程?
Q3.这种对抗反汇编技术被使用了多少次?
Q4.什么命令行参数会让程序输出“GoodJob”?

首先载入IDA进行分析
在这里插入图片描述

0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转
而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的
jz跳转的地方是loc_401010+1,也就是这里
在这里插入图片描述

跳转到指令的中间是不正常的,而且IDA将其目的地标记为红色,是不可能的一个值
Q1.这个二进制程序中使用了何种对抗反汇编技术?
A1.这个程序使用一个永远为假的条件分支: xor eax, eax,随后是一个jz指令。

光标定位到00401010按d键,将这一行转为数据
在这里插入图片描述

看到了其实jz跳转的是unk_401011
我们可以修改jz的真正目标了,光标定位到401011,按c键
在这里插入图片描述

将这段数据转换为了代码
可以看到这里其实是一条mov指令
继续往下
在这里插入图片描述

可以看到一些指令没有对齐,为了对齐,可以按c键,直到一条指令紧挨着另一条指令,而且他们中间没有数据字节。
对齐后的结果如下
在这里插入图片描述

这里IDA分析出现问题的根本原因在于恶意代码编写者在401010处用了E8,而E8代表的其实是call指令,在E8后跟着的4个字节应该就是跳转的目的地
Q2.这个二进制程序使用了什么机器码来欺骗反汇编过程?
A2.使用了机器码0xE8,它是call (占5个字节)指令的第一个字节,然后紧跟着的是一个jz指令。

举个例子,以401023为例
option->general,把机器码显示出来
在这里插入图片描述

结果如下
在这里插入图片描述

E8就是call指令,其后的8B 45 0C 8B就是跳转的目的地
但是这些E8是用来欺骗IDA,从而混淆我们的分析工作的

对401023处进行同样的处理,先按d键转为数据
在这里插入图片描述

然后在E8的下一条指令按c键进行转换
在这里插入图片描述

对没有对齐的位置按c键,对齐,如00400127处的8B
在这里插入图片描述

依次下去,最后如下图所示
在这里插入图片描述

此时可以看到00401037又出现了相同问题,继续同样的处理
按d键转为数据
在这里插入图片描述

然后对齐操作,结果如图
在这里插入图片描述

0040104b继续:
在这里插入图片描述

接着是00401062
在这里插入图片描述

这样就全部正确反汇编了,这样的混淆技术可以看到一共使用了5次
Q3.这种对抗反汇编技术被使用了多少次?
A3.在这个程序中被使用了5次

选中从401000开始位置一直到返回位置00401077
在这里插入图片描述
在这里插入图片描述

按p键将这段代码变成一个函数,然后按空格键就可以在图形模式中进行分析了
在这里插入图片描述

一开始就通过cmp比较arg_0和2
如果arg_0不是2,则会走到这里
在这里插入图片描述

打印出son,I am disappoint
如果arg0是2 ,也就是说有2个参赛,则走右边
在这里插入图片描述

00401011看到将arg_4赋给eax,而下一条将eax+4赋给ecx
70h表示p
也就是说我们输入的参数的一个字符与p比较,如果是p则继续
在这里插入图片描述

71h表示q
这里是将输入参数的第三个字符与q进行比较,如果是q,继续往下
在这里插入图片描述

64h表示d
这里是将输入参数的第2个字符与d进行比较,如果是d,继续往下
我们也可以直接f5看伪码
在这里插入图片描述

这里的printf的内容如下
在这里插入图片描述

如果输入的参数符合判断,则打印Good Job
我们可以在cmd中运行
在这里插入图片描述

可以看到和我们分析的是一样的
Q4.什么命令行参数会让程序输出“GoodJob”?
A4.命令行参数pdq可以让程序输出“Good Job!"。
参考:
1.《恶意代码分析实战》

Elwood Ying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战
博文视点(北京)官方博客
05-28 7848
安全技术大系 恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) 【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   诸葛建伟 姜辉 张光凯 译 ISBN 978-7-121-22468-3 2014年4月出版 定价:128.00元 732页 16开 编辑推荐 不管你是否有恶意代码
恶意代码详解
最新发布
ershuiyan的博客
06-05 886
病毒、蠕虫、木马、间谍软件、勒索软件、广告软件、勒索软件、后门
恶意代码分析实战 Lab15
baidu_41108490的博客
06-05 508
lab15-01在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了第一个比较,要求命令行参数是两个,其中一个是程序名接着是取出第二个参数的第一个字节作比较,可以知道参数是pdqlab15-02修正过程中就两个地方注意一下,其他的都跟第一题一个手法第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道...
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 635
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 207
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1181
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 410
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 954
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 474
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 470
和0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1232
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
恶意代码分析技术与工具实战指南
恶意代码分析技术详解 - 郑辉,清华大学网络中心,CERNET Computer Emergency Response Team,探讨分析环境准备、代码分析(静态与动态)、行为特征分析以及相关工具的使用。” 在网络安全领域,恶意代码分析是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值