恶意代码分析实战12-03

最新推荐文章于 2022-09-05 08:23:12 发布
最新推荐文章于 2022-09-05 08:23:12 发布
阅读量403 收藏 2
点赞数
分类专栏: malware 文章标签: windows python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/120392994
版权

本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题
Q1.这个恶意负载的目的是什么?
Q2.恶意负载是如何注入自身的?
Q3.这个程序还创建了哪些其他文件?

首先使用IDA载入文件
在这里插入图片描述

在imports窗口中看到了SetWindowsHookExA,这个函数可以用于应用程序挂钩或者监控windows内部事件
切换到view-a
在这里插入图片描述

在040105b处调用了SetWindowsHookExA
第一个参数idHook的值是0Dh,通过MSDN可知对应的是WH_KEYBOARD_LL,可知安装这个钩子的作用就是监控键盘的消息
第二个参数lpfn表示的是hook函数的地址,在上图中被标记为了fn,启用键盘事件监控
这一段应该就是对击键消息做某些手脚,而这个fn参数正在接受这些击键记录。在注册了接受键盘事件的钩子之后,调用了GetMessageA,因为windows不会将消息发送到程序进程的钩子函数汇总,所以一定要调用这个函数,直到所处的循环结构产生错误,才会终止
Q1.这个恶意代码的目的是什么?
A1.这个程序是一个击键记录器
Q2.恶意负载是如何注入自身的?
A2.这个程序使用hook注入,来偷取击键记录

接下来分析之前看到的fn函数
双击跟入
在这里插入图片描述

可以看到带有三个参数。
在MSDN中我们知道WH_KEYBOARD_LL回调函数实际上是LOWLevelKeyboardProc回调函数。
在这里插入图片描述

接下来我们将参数解析为实际的数据结构。
在这里插入图片描述

我们将第三个参数我选归为第二个箭头所示的数据结构
在00401086按y键,修改如图
在这里插入图片描述

点击ok即可
在这里插入图片描述

在0040108f,00401098处的两个cmp比较的100h,104h的意义可以在这里看到https://wiki.winehq.org/List_Of_Windows_Messages
在这里插入图片描述在这里插入图片描述

可知这是用于检查按键的类型

在004010a4将虚拟按键码作为参数传到sub_4010c7
跟入sub_4010c7
在这里插入图片描述

一开始是调用CreateFileA来创建或打开一个log文件
成功后往右
在这里插入图片描述

调用GetForegropundWindow选择按键按下时的活动窗口,调用GetWindowTextA获得窗口的标题。这样程序就能获得按键来源的上下文
程序将窗口标题写入log文件之后,会来到这里
在这里插入图片描述

这里的var_c有buffer传入,回溯buffer
在这里插入图片描述

看到buffer就是该函数的参数
esc回到上层函数
在这里插入图片描述

可以看到传入的参数实际上就是虚拟按键码
回到之前的位置,再往下走
在这里插入图片描述

进入了一个跳转表。在00401220看到虚拟按键码作为一个查询表的索引。查询表得到的值作为跳转表off_401441的一个索引
加上当前的按键为shift,其虚拟按键码为0x10,回到00401202我们从头跟踪
在这里插入图片描述

此时Var_c为0x10,而0040120b处减去8
0x10是10进制的16,减去8,等于8
之后来到了这里
在这里插入图片描述

根据前面的结果8,我们在byte_40148d找相应的偏移,双击跟入
在这里插入图片描述

由于这是一个数组,偏移为8,实际是第9个,也就是3
然后根据00401226,将3*4=12
它会作为off_401441的偏移量,跟入
在这里插入图片描述

dd表示的data dword,数据,双字。每个元素会占据4空间
所以12-15对应的是loc_401249,跟入
在这里插入图片描述

这里就是将SHIT字符串写入到log中
综合上述分析,可知恶意代码就是一个键盘记录器,通过SetWindowsHookEx实现记录功能,将击键记录到praticalmalwareanalysis.log中。
Q3.这个程序还创建了哪些其他文件?
A3.这个程序创建文件praticalmalwareanalysis.log,来保存击键记录

Elwood Ying
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1068
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
恶意代码分析实战—实验12-3
qq_43481350的博客
09-07 193
实验环境 实验设备环境:windows xp 实验工具:IDAPro 实验过程 首先我们采用IDA导入文件,查看imports窗口: 其调用了系统设置钩子函数,这个函数允许进程挂钩,也允许监控进程的API函数。 回到反汇编窗口,反汇编窗口中来到SetWindowsHookExA函数周围,其idhook参数表明此钩子是哪一种钩子,查看MSDN可以获知D用来监控键盘消息,lpfn是hook地址,fn启动了键盘监控,fn函数会接收击键记录。 接下来调用了getmessageA函数,此函数一定要调用,因为wind
恶意代码分析实战Lab3-1
王陈锋的博客
04-10 1810
Lab3-1 使用动态分析基础技术来分析lab03-01.exe 1.找出这个恶意代码的导入函数与字符串列表 首先PEiD查壳,发现加壳 从导入表中可以发现只有一个导入的动态链接库 利用ida进行分析 2.这个恶意代码在主机上的感染迹象特征是什么 3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么? ...
恶意代码分析目标
writeP的博客
05-27 1342
1、恶意代码的目的是什么2、恶意代码如何进入系统3、是谁瞄准了我们,他们的水平如何4、如何摆脱恶意代码和幕后之人5、恶意代码偷走了什么6、恶意代码已经潜伏了多长时间7、恶意代码是自传播的么?8、在其他机器上如何发现此恶意代码9、如何预防再次感染此恶意代码...
http中的净荷 payload(有效载荷、有效负载)是什么?(信元、信头)
Dontla的博客
01-17 6622
1、在计算和电信中,有效载荷是作为实际预期消息的传输数据的一部分。 有效载荷不包括仅用于促进有效载荷传送的任何标题或元数据。 2、在计算机安全方面,有效载荷是恶意软件的一部分,例如执行恶意行为的蠕虫或病毒; 删除数据,发送垃圾邮件或加密数据。 除了有效载荷之外,这样的恶意软件通常还具有旨在简单地扩展自身或避免检测的开销代码。 3、在计算机网络中,要发送的数据是有效负载,但是几乎总是封装在由帧位和帧校验序列组成的某种类型的“帧”中。例如是以太网帧,点到点协议(PPP) 帧,光纤通道帧和V.42调制解.
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战Lab1202 Lab1203
ACdream
05-22 179
从系统目录下对svchost.exe做操作在4010EA中发现:运行:拖入cmd运行,把cmd顺手都给关掉了分析到这里,发现五个题目一个都解决不了,说明还有好多细节点没有分析到是啊问题1:exe如何安装dll来实现长期驻留啊问题3:exe如何安装dll来实现长期驻留啊问题3:exe如何安装dll来实现长期驻留啊问题3:exe如何安装dll来实现长期驻留啊...
如何在 C# 程序注入恶意 DLL?
一线码农的专栏
09-05 1711
有了自定义注入的想法,接下来的实现步骤大概是这样的。注入一个线程到 C# 程序中。让程序加载一个 dll 文件。在 dll 中做一些我想做的业务逻辑。接下来新建一个 C++ 的动态链接库,在 DLLMain 入口函数的){{printf(" 总部,总部,我已经成功打入内部!break;}}要被加载的已经构建完毕,接下来就用 Win32 API 的实现远程注入,但注入之前需要做三件事情。获取 C# 程序的 进程句柄。在 C# 进程中申请一块内存空间,存放加载的 path 路径。
Lab12-02-03-恶意样本分析-简单的键盘记录程序分析
LoopherBear的博客
05-21 365
简单的键盘记录程序分析 **样本来自《恶意样本分析》Lab12-2.exe ** Lab12-03.exe和dump出来得payload.exe是同一个 程序不是很复杂很适合用来练手,对于新手很友好???? 程序的目的是什么 这是一个键盘记录的恶意程序程序是如何隐藏自身的 程序创建了一个svchost的进程来运行 恶意代码的payload放在那里 加密保存在资源文件内 程序是如何被保护的 将实际的Payload保存在资源内,通过异或加密保存 字符串是如何把被保护的 字符串在资源文件的payload内,被
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1561
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实验 Lab03-03
shannow_123的博客
04-28 1394
恶意代码分析实验(二)Lab03-03.exe使用IDA进行静态分析 Lab03-03.exe 使用IDA进行静态分析 将文件拖入IDA进行分析 根据分析得知该程序首先获取本线程的句柄,然后又获取了svchotexe.exe的绝对路径,路径获取过程如下: 之后该程序对UNICODE类的资源LOCALIZATION进行解密,过程如下: python对资源解密过程如下: 将解密后的文件拖入HxD中...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3465
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1495
12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1179
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
SetWindowsHookExA键盘线程钩子注入DLL到游戏
511遇见
05-29 3794
本课通过SetWindowsHookExA键盘线程钩子把一个控制的游戏的DLL注入到游戏中。 hook.dll源码 .版本 2 .支持库 EThread .程序程序集1 .程序集变量 bg, 整数型 .子程序 _启动子程序, 整数型, , 请在本子程序中放置动态链接库初始化代码 bg = 0 _临时子程序 () ' 在初始化代码执行完毕后调用测试代码 返回 (0) ' 返回值被忽略。 .子程序 _临时子程序 ' 本名称子程序用作测试程序用,仅在开发及调试环境中有效,编译...
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给他们提供解决安全问题的工具和方法。通过学习恶意代码的特征和运行机制,读者可以更好地理解恶意代码的危害和影响,并且能够识别和应对各种恶意代码的攻击。 这本书主要包括以下几个方面的内容:首先,介绍了恶意代码的基本概念和分类。然后,详细介绍了恶意代码分析的基本原理和方法,包括静态分析、动态分析和沙盒分析等。接着,详细介绍了常见的恶意代码攻击技术和攻击手段,包括植入木马、蠕虫、病毒等。最后,介绍了如何应对恶意代码攻击,包括应急响应、入侵检测、修复漏洞等。 本书的特点是理论与实践相结合,通过大量实例和案例分析,读者可以了解实际场景中的恶意代码分析过程。此外,本书还提供了一些实用的工具和技术,帮助读者更好地应对和识别恶意代码的攻击。 总的来说,恶意代码分析实战是一本权威且实用的指南,对于希望了解和应对恶意代码攻击的安全专家和研究人员来说,是一本非常有价值的参考书籍。无论是对于初学者还是有一定经验的专业人士来说,本书都提供了丰富的知识和实践经验,能够帮助他们更好地处理恶意代码攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值