恶意代码分析实战18-2

最新推荐文章于 2022-04-12 09:19:15 发布
最新推荐文章于 2022-04-12 09:19:15 发布
阅读量239 收藏
点赞数
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117386258
版权

本次实验我们将会分析lab18-03文件。
将lab18-3载入peview
在这里插入图片描述

可以看到这个壳是PECompact
载入od
在这里插入图片描述

默认405130为入口点
使用od的插件来查找oep
在这里插入图片描述

结果如下
在这里插入图片描述

插件猜测的oep起始位置在40a110
但是这里的这些指令不像是oep。
而且这里它访问的值在0040a115处的栈底指针上方,如果这个地址不是文件的入口点,那么栈底指针之上的任何数据都不会被初始化。

使用另外一个插件选项
在这里插入图片描述

结果如下
在这里插入图片描述

暂停在了ntdll中的一条指令上,这明显也不是oep
使用插件不行的话,我们查看尾部跳转是否容易定位
在这里插入图片描述

在上图阴影指令是一条retn指令,后面是一段0字节。
我们在这里下断点,执行过来
在这里插入图片描述

可以看到,没有命中我们下的位置,而是显示了一个异常
说明这种方法也不起作用了
我们查看程序默认的入口点
在这里插入图片描述

jmp指令会直接跳到00405138,而00405138,00405139的pushfd,pushad会影响内存。这些指令保存了所有的寄存器和标志信息,加壳程序很可能在跳转到OEP之前恢复所有的寄存器和标志,所以我们可以通过在栈上设置一个断点来尝试找到oep
在尾部跳转之前会有一个popad或popfd,将帮助我们找到oep
单步执行到call指令时
在这里插入图片描述

在上图右侧可以看到此时esp为0012ffa0
右键,如下操作
在这里插入图片描述

将地址载入到内存转储中

选中栈顶的前四个字节,如下操作
在这里插入图片描述

然后执行
在这里插入图片描述

可以看到断在了0040754f
看到了retn 4会将程序转移到另一个位置运行,这可能是尾部跳转,我们单步执行到这里,接着就来到了401577处
在这里插入图片描述

如下操作
在这里插入图片描述

强制od反汇编这些代码,结果如下
在这里插入图片描述

在右侧可以看到eip现在指向了00401577的位置
如下操作转储程序
在这里插入图片描述

点击get eip as oep
在这里插入图片描述

然后单击dump即可保存
再次使用peid查看新文件
在这里插入图片描述

可以看到脱壳成功了

1.《恶意代码分析实战》

Elwood Ying
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战Lab18
ACdream
08-06 537
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
恶意代码分析实战 Lab18
baidu_41108490的博客
06-07 804
lab18-01第一个是upx加密这里我们手动脱壳,upx壳挺简单的,只要找到oep就行注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点,按f9就能快速到达popad最后的跳转jmp后地址就是正确oep了直接用ollydbg脱壳直接就脱壳成功了至于判断是之前的那个恶意代码也不难IDA打开看看就能大概记起来他是lab14...
恶意代码分析实战18-1
Yale的博客
05-29 193
本次我们将会分析lab18-1,lab18-2文件。 将lab18-01载入peview 无法查看导入表等信息 将实验文件载入peid 显示什么都没找到 我们选择核心扫描 结果扫出来是upx 而查看节的时候 可以看到有一个名为upx2的节 接下来我们载入od,来手动脱壳 来到尾部跳转的位置 409f43处的jmp跳转指令后跟着一系列的0x00字节,跳转的目的地是一个比较远的位置 我们在这里下断点,然后执行过来。 单步之后来到了0040154f 此处就是程序的入口点 右键,如下操作 在弹出的
EIP & EBP & ESP
f413933206的专栏
12-20 7134
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5682
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 578
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加壳 核心扫描如下: 核心扫描发现upx加壳 发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱壳 dos命令 图形窗口 ...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1177
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 559
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加壳或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加壳操作 利用ollybdg进行手动脱壳 在尝试了一番之后,我发现这个脱完壳后还得进行修复,就搁置在这里。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战07-02
Yale的博客
09-19 4169
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战15-1
Yale的博客
05-29 2875
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题 Q1.这个二进制程序中使用了何种对抗反汇编技术? Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程? Q3.这种对抗反汇编技术被使用了多少次? Q4.什么命令行参数会让程序输出“GoodJob”? 首先载入IDA进行分析 0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转 而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的 jz跳转的地方是loc_401010+1,也就是这里 跳转到指
恶意代码分析实战Lab01-03,lab01-04
Yale的博客
07-13 2223
分析lab01-03.exe,lab01-04.exe 先来看lab01-03.exe Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这
恶意代码分析实战14-02
Yale的博客
06-15 898
本次实验我们将会分析lab14-02文件。先来看看要求解答的问题 Q1.这个恶意代码使用哪些网络库?使用这些库的好处和坏处是什么? Q2.恶意代码信令中URL的信息源是什么?这个信息源提供了哪些优势? Q3.恶意代码利用了HTTP协议的哪个方面,来完成它的目的? Q4.在恶意代码的初始信令中传输的是哪种信息? Q5.这个恶意代码通信信道的设计存在什么缺点? Q6.恶意代码的编码方案是标准的吗? Q7.通信是如何被终止的? Q8.这个恶意代码的目的是什么?在攻击者的工具中,它可能会起到什么作用? 运行恶意程序
恶意代码分析实战12-04
Yale的博客
09-20 798
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析实战1-1
Yale的博客
05-28 787
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下: 1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.这些文件是什么时候编译的? 3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数? 5.是否有任何其他文件
恶意代码分析实战11-3
Yale的博客
05-28 744
本次实验我们将会分析lab11-03.exe文件。先来看看要求解答的问题 Q1.使用基础的静态分析过程,你可以发现什么有趣的线索? Q2. 当运行这个恶意代码时,发生了什么? Q3. Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留? Q4.这个恶意代码感染Windows系统的哪个文件? Q5. Lab11-03.dll 做了什么? 先来看lab11-03.exe,在字符串窗口 看到inet_epar32.dll和net start cisvc。 Net start命令用于在wind
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值