恶意代码分析实战18-3

最新推荐文章于 2022-04-20 21:53:33 发布
最新推荐文章于 2022-04-20 21:53:33 发布
阅读量175 收藏
点赞数
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117386288
版权

本次实验我们将会分析lab18-4,lab18-5文件。
将lab18-4载入peid
在这里插入图片描述

可以看到是使用ASPack加壳的
载入od
在这里插入图片描述

第一条就是pushad
我们单步步过pushad
如下所示
在这里插入图片描述

选中esp的值follow in dump
在这里插入图片描述

然后下硬件断点
在这里插入图片描述

执行后如下所示
在这里插入图片描述

jnz指令的前一条是popad,我们知道跟在popad指令后面的应该是尾部跳转,尾部跳转可以将程序切换到oep运行。
我们单步步过jnz
在这里插入图片描述

在push指令后面看到了retn,它将跳转到压入栈的地址处运行,这可能就是尾部跳转
单步步过retn,来到了
在这里插入图片描述

右键,如下操作
在这里插入图片描述

结果如下
在这里插入图片描述

这样就找到了oep
将其转储
在这里插入图片描述

将转储后的文件载入peid
在这里插入图片描述

可以看到脱壳成功了。

将lab18-5载入peid
在这里插入图片描述

可以看到是WinUpack加壳得到的
载入od

在这里插入图片描述在这里插入图片描述

但是会直接报错
od能够加载文件,但是不能发现脱壳存根的入口点,而会在系统断点上中断
在这里插入图片描述

我们单步
在这里插入图片描述

直到esp的值为红色
接着,右键-》数据窗口中跟随
在这里插入图片描述

然后下断点
在这里插入图片描述

执行后停在下图所示位置
在这里插入图片描述

这里就是oep的位置

还是同样的转储操作
在这里插入图片描述

载入peid看到此时脱壳成功了
在这里插入图片描述

但是查看导入信息时,如下所示
在这里插入图片描述

无法正确识别
我们需要对导入表进行修复
使用import rec进行修复工作
在这里插入图片描述

上图的两个箭头所指的地方是需要修改的,一个是lab18-5的进程,一个是oep地址
单击自动搜索
在这里插入图片描述

点击获取输出表
在这里插入图片描述

然后点击修复转存文件
在这里插入图片描述

点击打开即可
在这里插入图片描述

显示saved_success说明修复完毕
将修复后的文件载入peid
在这里插入图片描述

可以看到导入信息等都可以查看了
说明脱壳成功

参考:
1.《恶意代码分析实战》

Elwood Ying
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战Lab18
ACdream
08-06 537
论工具的重要性:百度一下找个万能脱机:linxerUnpacker 可以准确识别4个且成功脱 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
恶意代码分析实战 Lab18
baidu_41108490的博客
06-07 804
lab18-01第一个是upx加密这里我们手动脱,upx挺简单的,只要找到oep就行注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点,按f9就能快速到达popad最后的跳转jmp后地址就是正确oep了直接用ollydbg脱直接就脱成功了至于判断是之前的那个恶意代码也不难IDA打开看看就能大概记起来他是lab14...
【逆向分析】查找程序入口点
qq_45972928的博客
04-20 3006
工具:OllyDBG 链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp 提取码:6ilp 1、尾部跳转法 跳转指令位于代码的尾部且跳转到一个很远的位置 而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码 进行跳转即可发现程序入口点 2、OD的插件法 点击:插件->OllyDump->Find OEP by setting Nop(Trace over) 会自动寻找入口点 3、利用p.
恶意代码分析实战18-2
Yale的博客
05-29 239
本次实验我们将会分析lab18-03文件。 将lab18-3载入peview 可以看到这个是PECompact 载入od 默认405130为入口点 使用od的插件来查找oep 结果如下 插件猜测的oep起始位置在40a110 但是这里的这些指令不像是oep。 而且这里它访问的值在0040a115处的栈底指针上方,如果这个地址不是文件的入口点,那么栈底指针之上的任何数据都不会被初始化。 使用另外一个插件选项 结果如下 暂停在了ntdll中的一条指令上,这明显也不是oep 使用插件不行的话,我们查
恶意软件分析实战15-UPack脱Lab18-5
輚至消亡
09-27 317
拖入PIED分析, 发现加了UPack 拖入OD内显示如下,不停的单步往下跳 如果遇到这种大跳转则直接F4到下面 直到碰到这个地方, 这里红色的箭头都是在一个范围内跳转,唯一跳出这个范围的箭头是白色的。在白色箭头指向的地方下断点后运行。 果然发现跳转到了这个位置,之后观察这个je, 其会跳转到ret,可以感觉到这个retn是跳往OEP的 但是可以发现跳转没有实现 在这个大循环的过程中,在eax内看到很多API。很显然这是在构建导入表 果断在retn处...
恶意代码分析实战Lab1-3
王陈锋的博客
04-12 559
Lab1-3 分析Lab1.3.exe文件 目录 Lab1-3 2. 是否有这个文件被加或混淆的任何迹象? 3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 2. 是否有这个文件被加或混淆的任何迹象? 利用PEiD进行分析 程序利用FSG1.0进行加操作 利用ollybdg进行手动脱 在尝试了一番之后,我发现这个脱完后还得进行修复,就搁置在这里。
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 578
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加 核心扫描如下: 核心扫描发现upx加 发现加后,要进行脱操作,可以利用ollydbg进行手动脱,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱 dos命令 图形窗口 ...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1177
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战9-3
Yale的博客
05-27 606
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么 Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么 Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么 Q
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 643
Lab1-4 目录 Lab1-4 2.是否有这个文件被加或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加,请进行脱,如果可能的话。 3.这个文件是什么时候被编译的? ​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战07-02
Yale的博客
09-19 4169
先peview看看exe程序 注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1 而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll 再来看看导入表 函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文
恶意代码分析实战15-1
Yale的博客
05-29 2875
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题 Q1.这个二进制程序中使用了何种对抗反汇编技术? Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程? Q3.这种对抗反汇编技术被使用了多少次? Q4.什么命令行参数会让程序输出“GoodJob”? 首先载入IDA进行分析 0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转 而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的 jz跳转的地方是loc_401010+1,也就是这里 跳转到指
恶意代码分析实战Lab01-03,lab01-04
Yale的博客
07-13 2223
分析lab01-03.exe,lab01-04.exe 先来看lab01-03.exe Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Q2.是否有这个文件被加或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加,请进行脱,如果可能的话。 Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这
恶意代码分析实战14-02
Yale的博客
06-15 898
本次实验我们将会分析lab14-02文件。先来看看要求解答的问题 Q1.这个恶意代码使用哪些网络库?使用这些库的好处和坏处是什么? Q2.恶意代码信令中URL的信息源是什么?这个信息源提供了哪些优势? Q3.恶意代码利用了HTTP协议的哪个方面,来完成它的目的? Q4.在恶意代码的初始信令中传输的是哪种信息? Q5.这个恶意代码通信信道的设计存在什么缺点? Q6.恶意代码的编码方案是标准的吗? Q7.通信是如何被终止的? Q8.这个恶意代码的目的是什么?在攻击者的工具中,它可能会起到什么作用? 运行恶意程序
恶意代码分析实战12-04
Yale的博客
09-20 798
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给他们提供解决安全问题的工具和方法。通过学习恶意代码的特征和运行机制,读者可以更好地理解恶意代码的危害和影响,并且能够识别和应对各种恶意代码的攻击。 这本书主要包括以下几个方面的内容:首先,介绍了恶意代码的基本概念和分类。然后,详细介绍了恶意代码分析的基本原理和方法,包括静态分析、动态分析和沙盒分析等。接着,详细介绍了常见的恶意代码攻击技术和攻击手段,包括植入木马、蠕虫、病毒等。最后,介绍了如何应对恶意代码攻击,包括应急响应、入侵检测、修复漏洞等。 本书的特点是理论与实践相结合,通过大量实例和案例分析,读者可以了解实际场景中的恶意代码分析过程。此外,本书还提供了一些实用的工具和技术,帮助读者更好地应对和识别恶意代码的攻击。 总的来说,恶意代码分析实战是一本权威且实用的指南,对于希望了解和应对恶意代码攻击的安全专家和研究人员来说,是一本非常有价值的参考书籍。无论是对于初学者还是有一定经验的专业人士来说,本书都提供了丰富的知识和实践经验,能够帮助他们更好地处理恶意代码攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值