恶意代码分析

最新推荐文章于 2023-06-14 15:57:18 发布
最新推荐文章于 2023-06-14 15:57:18 发布
阅读量2.7k 收藏 3
点赞数 3
文章标签: 计算机 通信 数据 api 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/77986540
版权

Chapter1 静态分析基础技术

 

Ascii和unicode两种类型格式,在存储字符序列时都以null结束符表示字符串已经终结。一个null结束符表示该字符串是完整的。Ascii字符串每个字符使用1个字节、而unicode使用2个字节

 

由string程序检测到的字符串并非是真正的字符串。可能是一个内存地址,CPU指令序列,或是由某个程序所使用的一段数据

 

加壳和混淆代码通常会包含loadlibrary 和getpreaddress 函数,他们是用来加载和使用其他函数功能的

 

导入函数是一个程序所使用的但又存储在另一程序中的那些函数

 

常见的DLL程序:kernel32.dll  包含核心系统功能,如访问和操作内存、文件和硬件等

Advapi32.dll  提供了核心windows组件的访问,比如服务管理器和注册表

User32.dll          包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件

Gdi32.dll 包含了图形显示和操作的函数。

Nedll.dll 这个dll是windows内核的接口,可执行文件通常不直接导入这个函数,而是由kernel32.dll间接导入,若导入这个文件则意味着作者在企图非正常供windows程序使用的函数,一些如隐藏功能和操作进程等任务会使用这个接口

Wsock.dll,ws2_32.dll   联网dll,访问任一可连接网络,或是执行网络相关的任务

Wininet.dll 包含了更高层次的网络函数,实现了如ftp,http,ntp等协议

 

命名约定:当微软更新一个函数,而且新与旧不兼容,微软仍会支持旧,新与旧名字相同,并在后面加上ex后缀,被显著更新过两次的函数,则名字后面有两个ex后缀

 

以字符串作为参数的很多函数,名字后会包含一个A或一个W,如createdirectoryW,A/W在文档中并不体现,只意味着函数有两个不同的版本,A表示输入参数类型为ascii字符串,W表示输入参数为宽字符字符串

 

Dll文件本身就是实现一些导出函数然后被EXE可执行文件使用的,因此导出函数在dll文件中是最常见的

 

PE文件头与分节:.text节包含了CPU执行指令,所有其他节存储数据和支持性的信息,这是唯一可执行的节,也应该是唯一包含代码的节

 

                            .rdata节通常包含导入与导出函数信息。这个节中还可以存储程序所使用的其他只读数据

.data 字节包含了程序的全局数据。可以从程序的任何地方访问到,本地数据并不存储在这个节中。而是PE文件某个其他文件上。

.rsrc节包含由可执行文件所使用的资源。这些内容并不是可执行的

 

Windows平台可执行pe文件中的分节:

.text 包含可执行代码

.rdata 包含程序中全局可访问的只读数据

.data 存储程序中都可以访问的全局数据

.idata 有时会显示和存储导入函数信息,如果此节不存在,导入函数信息会存储在rdata中

.edata                 导出

.pdata 只在64位可执行文件中存在,存储异常处理信息

.rsrc 存储可执行文件所需的资源

.reloc 包含用来重定位库文件的信息

 

恶意代码经常会把一个嵌入的程序或驱动放在资源节中,在程序运行之前他们会将嵌入可执行文件或驱动提取出来

 

一些恶意代码在网络通信时必须改变字节序,因为网络数据使用大端字节序,而x86程序使用小端字节序

 

操作数说明指令要使用的数据有三种类型:

立即数(immediate)操作数是一个固定的值

寄存器(register)操作数指向寄存器

内存地址(memory address)操作数指向感兴趣的值所在的内存地址

 

 

寄存器是可以被CPU使用的少量数据存储器,x86处理器中有一组寄存器,可以用于临时存储或者作为工作区,最常用的x86寄存器分为三类:通用寄存器(cpu执行期间使用)、段寄存器(用于定位内存节)、状态标志(用于做出决定),指令指针(用于定位要执行的下一条指令)

 

反汇编时,经常看到xor指令,例如xoreax,eax就是一种将EAX寄存器置0的方法

 

移位经常用于对乘法运算的优化

 

在分析恶意代码时,如果遇到一个函数中有xor,or,shl,ror,shr,rol这样的指令,并且反复随机出现,可能就是遇到了一个加密或者压缩的函数

 

Nop指令是xchg eax,eax的伪名字。该指令的opcode为0x90,在缓冲区溢出攻击中,可以使用nop滑板,起到填充代码的作用,以降低shellcode可能在中间部分开始执行造成的风险

 

用于函数的内存、局部变量、流控制结构等被存储在栈中,x86架构有对栈的构建支持。用于这种支持的寄存器包括esp和ebp。Esp是栈指针,包含了指向栈顶的内存地址,ebp是栈基址寄存器,在一个函数中会保持不变,因此程序会把它当成定位器,用于确定局部变量和参数的位置。

 

与栈有关的指令包括push,pop,call,leave,enter和rct。在内存中,栈被分配成自顶向下的,最高的地址最先被使用。

 

栈只能用于短期存储,它经常用于保存局部变量、参数和返回地址。其主要用户是管理函数调用之间的数据交换

 

许多函数包括一段序言(prologue),它在函数开始处的少数几行代码,用于保存函数中要用到的栈和寄存器。相应地,在函数结尾的结语(epilogue)则将栈和这些寄存器恢复至被调用前的状态。

 

 

 

Elwood Ying
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒防护:恶意代码检测技术,病毒分类、传播方式,恶意代码的清除与防护
wangyuxiang946的博客
06-25 2002
解析特征匹配、行为检测、云查三种病毒检测技术的实现原理,介绍病毒的分类、传播方式、清除与防护方式。
恶意代码分析总结
weixin_41038905的博客
03-04 385
寄存器类型: 1、CS:代码段寄存器; 2、DS:数据段寄存器; 3、SS:堆栈段寄存器; 4、FS:标志段寄存器 5、GS:全局段寄存器 6、ES:扩展段寄存器 通过读取FS寄存器指定的内存可以获得很多系统关键信息,内核态是fs = 0x30,用户态 fs = 0x3B,fs在内核态指向_KPCR,用户态指向_TEB。 TEB(Thread Environment Block),线程环境块,也就是说每一个线程都会有TEB,用于保存系统与线程之间的数据,便于操作控制。那么Fs:[0x30]就是PEB进程环境
Windows PE文件各个节(Section)分析
weixin_38164023的博客
06-10 2019
PE(Portable Executable),即可移植的执行体。所有Windows下可执行文件,均使用PE文件结构。 PE文件通常包括以下节(Section) .textbss/BSS BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 .text/CODE 代码段(text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就.
PE文件格式”1.9版 完整译文(一)
lwglucky的专栏
03-15 1045
[注意:本译文的所有大小标题序号都是译者添加,以方便大家阅读。圆圈内的数字是注释的编号,其中注释②译自微软的《PECOFF规范》,其它译自网络。----译者] 一、前言(Preface) ------------------ PE(“portableexecutable”,可移植的可执行文件文件格式,是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件
恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1477
恶意代码与软件安全】课程与实验
PE文件结构(二)
weixin_34265814的博客
09-20 79
PE文件结构(二) 七、节目录(Section directories)---------------------------------节由两个主要部分组成:首先,是一个节描述(IMAGE_SECTION_HEADER[意为“节头”]类型的),然后是原始的节数据。因此,我们会在数据目录后发现一“NumberOfSections”个节头组成的数组,它们按...
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1461
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
ntdll.dll错误模块要怎么去解决修复?
最新发布
aizhiniao6的博客
06-14 1万+
在使用Windows系统的过程中,我们可能会遇到各种问题。其中一个常见的问题就是“ntdll.dll错误模块”,这个问题可能会导致某些程序无法正常运行,今天我们就ntdll.dll错误模块这个问题来进行一些相关的分析,并且教大家如何的去进行解决修复。
《网络攻防》恶意代码分析
2301_76161259的博客
04-25 584
在免杀原理中我们总结出了恶意代码常用的一些障眼法,在上述两个环节中,我们分别使用了比对特征库,以及对其一些设计上的行为功能进行了分析,接下来,我们使用工具PEID对一些加壳的恶意代码进行壳分析pe exploer除了编辑资源之外,我们可以用其打开该程序的导入表(一般作为可执行文件,都不向外部提供函数,而需要外部提供一些基础函数支持,所以只有导入表,没有导出表)从以上对于导入表的分析我们可以看出,除了正常的函数,内存管理等调用,该可执行文件还有着修改注册表,系统日志的功能,且与外界建立了。
如何利用沙箱进行恶意软件分析
瓦罗兰特顶级C位的博客
03-09 838
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
恶意代码分析实战 5 分析恶意Windows程序
农夫果园好好喝的博客
01-24 1132
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题首先,查看导入函数。OpenSCManagerA和CreateServiceA函数暗示着这个恶意代码可能创建一个服务,来保证它在系统被重启后运行,StartServiceCtrlDispatcherA导入函数提示了这个文件是一个服务。调用了StartServiceCtrlDispatcherA函数,这个函数被程序用来实现一个服务,并且它通常立立即被调用。
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8904
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
XML外部实体漏洞 (XXE)简介
allway2的博客
07-27 1236
例如,假设您的应用程序必须从他们的系统中获取用户的操作系统详细信息。例如,他们可以禁用服务器上的防火墙,这将有助于他们发起其他攻击。因此,在这篇博客中,我将解释什么是XXE,以及如何保护您的应用程序免受这种风险的影响。这样做的一部分是为了了解常见的漏洞。如果您有一个使用XML的Web应用程序,那么保护它对您来说很重要。考虑到XXE漏洞可能对您的服务器造成的损害,您不能冒险。因此,黑客可以使用XML外部实体功能修改请求并获取该文件的详细信息。的功能,其中包含有关XML文档结构的信息。...
【已解决】win7系统出现ntdll.dll错误模块怎么解决?
热门推荐
qdx698767896的博客
01-06 2万+
ntdll.dll模块故障怎么办?ntdll.dll是windonws 7操作系统中重要的一个组件,是NT内核级文件,系统从ring3到ring0的入口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域!当我们在win7 64位系统中遇到了ntdll.dll模块故障的错误提示后该如何解决?在本文中winwin7小编给大家分享下修复方法。 ntdll.dll丢失的解决方法 1、从本站下载ntdll.dll文件【点击进入下载地址】 2、将下载过
恶意代码分析与防范:计算机安全的重要性
恶意代码分析与防范 恶意代码分析与防范是指对恶意代码的识别、分析和防范,旨在保护计算机系统和网络免受恶意代码的攻击和破坏。恶意代码是指设计目的是用来实现某些恶意功能的代码或程序,包括计算机病毒、网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值