恶意代码分析实战3-34

最新推荐文章于 2024-01-04 18:51:47 发布
最新推荐文章于 2024-01-04 18:51:47 发布
阅读量366 收藏
点赞数
分类专栏: malware 文章标签: windows python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/120385557
版权

本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题
Q1使用process explorer工具进行监视时,注意到了什么
Q2可以找出任何的内存修改行为吗
Q3恶意代码在主机上的感染特征是什么
Q4该恶意代码的目的是什么
依次分析。
开启process explorer,然后启动程序lab03-03.exe
此时会发现process explorer一闪而过
在这里插入图片描述

该程序创建了svchost.exe之后,然后自身进程就消失了,将svchost.exe作为“孤儿”进程运行,如下图所示
在这里插入图片描述

而正常情况下的svchost.exe应该是这样的
在这里插入图片描述

上图是正常的svchost.exe,它的父进程是services.exe
而这里被创建成孤儿进程的svchost.exe比较可疑
Q1使用process explorer工具进行监视时,注意到了什么
A1.恶意代码执行了对svchost.exe文件的替换
选中这个可以的svchost.exe,右键-》propertites
在这里插入图片描述

   切换到stirngs

在这里插入图片描述

左下角的image,memory可以进行切换
分别是磁盘镜像和内存镜像
在这里插入图片描述

我们在内存镜像中看到了Log日志文件,以及下面的一些tab,caps lock之类类似于我们键盘符号的字符串;这些标志在典型的svchost.exe中是不会出现的
Q2可以找出任何的内存修改行为吗
A2对比内存映像与磁盘映像中的svchost.exe, 显示它们并不是一样的。内存映像拥有如practicalmalwareanalysis . log和[ENTER]这样的字符串,而磁盘镜像中却没有
我们猜测这可能是一个键盘记录器
我们来测试一下,打开记事本
在这里插入图片描述

然后根据这个进程的pid去process monitor过滤查看
在这里插入图片描述

pid为3356
在这里插入图片描述

在过滤后的结果中看到
在这里插入图片描述

一直在操作log文件
我们根据路径打开这个文件看看
在这里插入图片描述

可以看到记录了我们在哪个窗口,从键盘输入了什么,证实了猜测。
Q3恶意代码在主机上的感染特征是什么
A3.这个恶意代码创建了一个practicalmalwareanalysis.log日志文件

Q4该恶意代码的目的是什么
A4.这个程序在svchost.exe进程上执行了进程替换,来启动一个击键记录器
接下来我们分析lab03-04.exe
Q1当你运行这个文件时,会发生什么
Q2是什么原因造成动态分析无法有效实施
Q3是否有其他方式运行这个程序

先静态分析,载入peview看看
导入函数:
在这里插入图片描述

可以看到是有关注册表的操作,还有个deleteservice,待会儿会发现它的作用
再来看看有没有什么特殊的字符串
在这里插入图片描述

看到了域名、注册表位置(如SOFTWARE\Microsoft\XPS),http/1.0还有DOWNLOAD,UPLOAD等信息,我们的猜测是可能是一个后门程序,会未经允许访问网站。而-cc,-re,-in应该是一些命令行参数(如-in可能是install的缩写)
接下来进行动态分析,为了监控行为,打开process monitor,process explorer
将lab03-04.exe复制到桌面后双击
发现先是弹窗,继而程序自身就被删除了
Q1当你运行这个文件时,会发生什么
A1.当你双击它运行这个恶意代码时,程序会立即将自身删除掉。

整个过程中,process explore的进程列表没有任何变化
在这里插入图片描述

那么去process monitor看看
加上过滤条件
在这里插入图片描述

我们这里关注进程监控
在这里插入图片描述

可以看到有process create的操作,是打开了一个cmd程序
双击可以看到事件属性
在这里插入图片描述

可以知道,是通过cmd执行了一条命令,这条命令的字符串与我们之前静态分析看到的是一致的。
这条命令的作用就是删除自身。
Q2是什么原因造成动态分析无法有效实施
A2.我们怀疑可能需要提供-一个命令行参数,或者这个程序的某个部件缺失了 Q3是否有其他方式运行这个程序
A3我们尝试使用在字符串列表中显示的一些命令行参数,比如在前面查看字符串时看到的-in.-re,-cc等, 但这样做却没有得到有效的结果,需要更深入的分析。( 我们将在第9章的实验中进一步分析这个恶意代码。)

Elwood Ying
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 课后练习实验文件
09-07
恶意代码分析实战 课后练习配套完整文件。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和技巧。 共两部分,此为part2,共2部分
恶意代码分析实战课后练习题
11-04
恶意代码分析实战课后练习题
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战Lab0304
ACdream
02-04 587
首先查壳,VC++ 静态分析IDA 函数402020分析: 从查看到的strings中找到了DOWNLOAD、UPLOAD等特征字符串,从而查看引用来到402020 可见,这个函数相当于恶意代码的menu模块,提供了上传、下载、远程cmd、休眠sleep等功能 当开发者把功能写得非常框架、非常模块化的时候,逆向分析人员也是可以很好的去破解其思路。 如果开发者为了防止别人的破解,
Process Explorer 和 Windbg 排查软件线程堵塞案例分享
最新发布
qq_56579776的博客
01-04 407
Process Explorer 是一款强大的 Windows 进程管理工具,它可以展示进程的详细信息,包括线程、句柄、模块等。通过 Process Explorer,我们可以快速定位到发生线程堵塞的进程。接下来,我们根据阻塞线程的调用堆栈信息,逐步定位到导致阻塞的具体代码位置。在排查线程堵塞问题时,Windbg 可以帮助我们获取线程的调用堆栈信息,从而定位到导致堵塞的具体代码位置。通过这个案例分享,我们了解到使用 Process Explorer 和 Windbg 工具在排查软件线程堵塞问题中的重要性。
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6496
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
Heart.EXE注入函数完整过程及分析总结(图15个,涉及函数重定向,函数参数等问题,不是运行时注入,是在EXE文件中注入函数)
贺昌锋的博客,, 西安,陕西,Chang Feng He
10-26 1644
Heart执行文件EXE函数注入完整过程(图15个,设计函数重定向,函数参数等问题) **微软红桃大战游戏heart.exe,我拷贝为D.EXE,运行后先弹出自己的一个对话框,然后再正常游戏。几乎花了我2周的时间,从头到尾。这只是后面一部分。涉及到DLL函数的重定位,函数参数的相对地址,PE文件的结构。声明一下,我是在WIN 7 + Intel 赛扬32位上破解注入成功的。 我信奉动手做,之说...
恶意代码实战分析Lab03-04
王陈锋的博客
04-13 821
Lab03-04 使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。 一上来就动态分析,感觉还是先静态,静态可以大致分析程序的一个粗略的作用,便于动态分析时要多注意哪些内容。 程序并没有加壳,导入表中的dll,可以判断出程序有网络操作 可以看到导入表中具有复制文件、读写文件功能。 还有创造文件、创建进程等功能。 还有个getSystemDirectoryA函数用来获取系统目录。 关于注册表的操作、创建服务、删除服务等等。 在查看字符串的...
恶意代码防范实验-Lab04.exe分析
Lauhoman的博客
06-05 1948
实验目的分析含有恶意代码的程序Lab04.exe。使用软件 PEiD Ollydbg process monitor 7-Zip WinHex 使用所给文件完成以下问题 这些文件何时编译的? 这两个文件是否有迹象被加壳或混淆?证据何在? 是否有导入函数?功能? 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找? 是否有关于网络的恶意代码感染迹象? 1、当你运行该文件时,会发生何种现象?
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 3990
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
Exp4 系统动态监控 20155113徐步桥
weixin_30532973的博客
04-12 78
Exp3 系统动态监控 1. 实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行...
利用 Process Monitor 找出某个 Windows 选项所对应的注册表值
u013287859的博客
10-31 2301
多时候我们要调整一项 Windows 的功能时只需更改一下注册表即可实现。而很多大家眼中所谓的高手,对 Windows 注册表更是玩得出神入化。难道这些高手把 Windows 注册表都记下来了?答案是当然不可能。那么,我们怎么知道 Windows 中的某个功能对应的是哪个注册表值呢? 在接下来的文章内容中,我们将以示例的方式教会大家使用 Process Monitor 的事件监控功能来找
ProcessExplorer使用分享
weixin_30906671的博客
11-24 559
工具描述 Process Explorer使用个轻量级的进程管理器,是由Sysinternals出品的免费工具,请猛击这里下载最新版本使用。 以下是官方介绍的翻译: “想知道是那个程序打开了某个文件或者目录么?现在可以找出它了。PorcessExplorer将会显示出进程打开或者加载了哪些的句柄(handles)或者动态链接库(Dlls)。 ProcessExplorer的显示区包含由两个子窗...
恶意代码分析实战Lab03——04.exe(详细分析
sxr__nc的博客
12-26 955
第一步:查看程序的基本信息: 查壳:无壳 查看资源数据: 没有资源数据,暂时可以排除目标程序,通过资源数据来释放恶意的程序。 第二步:使用IDA和OD进行分析: 在使用IDA进行分析的时候,可以先查看一下字符串(在IDA里边看到的字符串数据并不完整,如果要看比较完整的字符串数据,可以通过,Bintext这样的字符串查看工具,但是通过IDA看到的都是一些比较敏感重要的字符串数据): 之后就通过 ...
恶意代码分析实战 Lab 9-1 习题笔记
isinstance的博客
11-13 1914
Lab 9-1问题1.如何让这个恶意代码安装自身?解答: 这个既然开始了动态调试的部分,我们就只用OD来进行操作了,因为这个版本的恶意代码都是针对XP的,所以我打算是把OD装到XP那台运行代码的机器上这里我们还是跟这书上的步骤走走,先摸清摸清一下套路我们先打开OllyDbg,我这个是从官网下载的,原版的1.x的东西,然后大概是这样这里稍微说一下这个OllyDbg调整字体的方式如果你用是吾爱破解版的话
OllyDbg使用方法
Hvnt3r的博客
03-24 6104
知识点 **加载恶意代码:**OD可以直接加载可执行文件,也可以加载DLL文件,也可以将调试器附加在进程中,我们甚至可以用命令行运行恶意代码或者执行DLL中的某个函数。 **加载可执行文件:**在加载可执行文件的时候OD会使用它的加载器来加载这个程序,并可在此过程选择运行的命令行参数。如果OD能确定程序的main函数就在main处中断,否则在程序PE头提供的程序入口点中断。 **附加调试器到一个程...
svchost进程的浅析
逆枫 -- C++/Qt工程师、创业者
07-30 2971
今天我就以为个人的能力去研究一下,一个重要的进程svchost,本人水平极其有限,而svchost又是微软的一个非常重要的进程,很强大,所以题目就叫svchost进程的浅析,如果 有高手,可以后面跟贴补充~~~不甚感激! 科普一下: 写过一些病毒和木马的人,也许一定不会对svchost进程感到陌生,中过木马的人也许也看到过这个进程,没错,svchost进程,曾几何时一度风靡病毒界,很
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值