malware
文章平均质量分 84
Elwood Ying
这个作者很懒,什么都没留下…
展开
-
恶意代码分析实战16-03
本次实验分析Lab16-03.exe中的恶意代码。问题Q1.当使用静态分析法分析这个二进制文件时,你看到了哪些字符串?Q2.当运行这个二进制文件时会发生什么?Q3.如何重命名它,才能使这个二进制文件正常运行?Q4.这个恶意代码使用了哪些反调试技术?Q5.对每一种反调试技术而言,如果恶意代码确定它运行在调试器中,它将做什么?Q6.为什么反调试技术在这个恶意代码中能够成功?Q7.恶意代码使用了什么域名?1.1实验任务一Q1.当使用静态分析法分析这个二进制文件时,你看到了哪些字符串?Pevi原创 2021-09-21 19:33:58 · 294 阅读 · 0 评论 -
恶意代码分析实战12-04
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题Q1.位置0x401000的代码完成了什么功能?Q2.代码注入了哪个进程?Q3.使用LoadLibraryA装载了哪个DLL程序?Q4.传递给CreateRemoteThread调用的第4个参数是什么?Q5.二进制主程序释放出了哪个恶意代码?Q6.释放出恶意代码的目的是什么?首先使用Peview载入可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资原创 2021-09-20 17:08:10 · 763 阅读 · 0 评论 -
恶意代码分析实战12-01
本次实验我们将会分析lab12-01.exe文件。先来看看要求解答的问题:Q1.在你运行恶意代码可执行文件时,会发生什么?Q2.哪个进程会被注入?Q3.你如何能够让恶意代码停止弹出窗口?Q4.这个恶意代码样本是如何工作的?通过peview载入lab12-01.exe可以看到一些导入函数:CreateRemoteThread,WriteProcessMemory以及VirtualAllocEx.这些导入函数是恶意代码在进行进程注入时常用的。再到字符串窗口可以看到explorer.exe,l原创 2021-09-20 17:03:43 · 465 阅读 · 0 评论 -
恶意代码分析实战12-03
本次实验我们将会分析lab12-03.exe文件。先来看看要求解答的问题Q1.这个恶意负载的目的是什么?Q2.恶意负载是如何注入自身的?Q3.这个程序还创建了哪些其他文件?首先使用IDA载入文件在imports窗口中看到了SetWindowsHookExA,这个函数可以用于应用程序挂钩或者监控windows内部事件切换到view-a在040105b处调用了SetWindowsHookExA第一个参数idHook的值是0Dh,通过MSDN可知对应的是WH_KEYBOARD_LL,可知安装这原创 2021-09-20 17:00:16 · 371 阅读 · 0 评论 -
恶意代码分析实战19-03
本次实验我们将会分析lab19-03相关文件。先来看看要求解答的问题Q1.这个PDF中使用了什么漏洞?Q2.这段shellcode是如何编码的?Q3.这段shellcode导入了哪些函数?Q4.这段shellcode在文件系统上留下了什么迹象?Q5.这段shellcode做了什么?分析文件Lab19-03.pdf以及lab19-03_sc.bin首先我们切换到kali进行分析先使用pdfid检查下注意到有js,javascript,结合题目的问题,那么可能这个pdf文件就是利用JavaS原创 2021-09-20 16:40:41 · 303 阅读 · 0 评论 -
恶意代码分析实战19-01
本次实验我们将会分析lab19-01文件。先来看看要求解答的问题Q1.这段shellcode是如何编码的?Q2.这段shellcode手动导入了哪个函数?Q3.这段shellcode和哪个网络主机通信?Q4.这段shellcode在文件系统上留下了什么迹象?Q5.这段shellcode做了什么?将实验程序载入IDA可以看到是一些ecx自增操作一直到了200开始才是正常的代码段shellcode的解码器也是从这里开始的一开始的xor用于清空ecx,之后将18dh赋给cxjmp来到lo原创 2021-09-20 16:37:31 · 391 阅读 · 0 评论 -
恶意代码分析实战06-01
本次实验我们将会分析lab19-2文件。先来看看要求解答的问题Q1.这段shellcode被注入到什么进程中?Q2.这段shellcode位于哪里?Q3.这段shellcode是如何被编码的?Q4.这段shellcode手动导入了哪个函数?Q5.这段shellcode和什么网络主机进行通信?Q6.这段shellcode做了什么?首先载入IDA第一处call是调用sub_4010b0,跟入该函数从其关键函数调用可知,这个函数为当前进程提供合适的权限,使其允许调试返回main接着是调原创 2021-09-20 16:34:50 · 196 阅读 · 0 评论 -
恶意代码分析实战3-1
使用动态分析基础技术来分析lab03-01.exeQ1:找出这个恶意代码的导入函数与字符串列表Q2:这个恶意代码在主机上的感染迹象特征是什么Q3:这个恶意代码是否存在一些有用的网络特征,如果存在,是什么?依次分析Q1:找出这个恶意代码的导入函数与字符串列表将文件载入peview可以看到只导入了kernel32.dll。只有一个导入函数——ExitProcss推测这个程序可能被加壳了,导入函数将在运行时被解析然后使用string查看字符串从打印出的结果中我们看到url,注册表位置,e原创 2021-09-20 16:31:18 · 447 阅读 · 0 评论 -
恶意代码分析实战3-2
使用动态分析基础技术来分析lab03-02.exeQ1怎样才能让这个恶意代码自行安装Q2在安装之后,如何让恶意代码运行起来Q3怎么能找到这个恶意代码是在哪个进程下运行的Q4在procmon工具中设置什么样的过滤器,才能收集这个恶意代码的信息Q5这个恶意代码在主机上的感染迹象特征是什么Q6这个恶意代码是否存在一些有用的网络特征码依次分析首先静态分析首先peview载入分析分别来看看导入函数导出函数先看导出函数从导出函数servicemain可以知道,这次的文件需要安装成一个服务原创 2021-09-19 22:19:16 · 444 阅读 · 0 评论 -
恶意代码分析实战3-34
本次实验分析两个实验文件,分别为lab03-03.exe,lab03-04.exe.先来看lab03-03.exe的相关问题Q1使用process explorer工具进行监视时,注意到了什么Q2可以找出任何的内存修改行为吗Q3恶意代码在主机上的感染特征是什么Q4该恶意代码的目的是什么依次分析。开启process explorer,然后启动程序lab03-03.exe此时会发现process explorer一闪而过该程序创建了svchost.exe之后,然后自身进程就消失了,将svch原创 2021-09-19 22:16:28 · 342 阅读 · 0 评论 -
恶意代码分析实战07-01
本次实验分析lab07-01.exe,lab07-02.exe,先来看lab07-01.exe的问题Q1.计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)Q2.为什么这个程序会使用一个互斥量?Q3.可以用来检测这个程序的基于主机特征是什么?Q4检测这个恶意代码的基于网络的特征是什么Q5这个程序的目的是什么Q6这个程序什么时候完成执行先进行基础的静态分析,peid载入后分析其导入表,注意到一些关键的函数比如上图的openscmanager和createService,starts原创 2021-09-19 22:10:18 · 505 阅读 · 0 评论 -
恶意代码分析实战07-02
先peview看看exe程序注意到这里有两个kernel32.dll,不过仔细看的话,发现其中有一个是假的,名字为kerne132.dll,kernel的l被换成了1而且出现了lab07-03.dll。看来运行这个exe的时候会加载这个dll再来看看导入表函数如createfile,createfilemappingA,MapViewOfFile可知程序会打开一个文件并且映射到内存中。Findfirstfile,filenextfile可知程序会搜索目录,并使用copyfilea来复制它找到的文原创 2021-09-19 22:07:19 · 4152 阅读 · 0 评论 -
恶意代码分析实战14-03
本次实验我们将会分析lab14-03文件。先来看看要求解答的问题Q1.在初始信令中硬编码元素是什么?什么元素能够用于创建一个好的网络特征?Q2.初始信令中的什么元素可能不利于可持久使用的网络特征?Q3.恶意代码是如何获得命令的?这种技术的优点是什么?Q4.当恶意代码接收到输入时,在输入上执行什么检查可以决定它是否是一个有用的命令?攻击者如何隐藏恶意代码正在寻找的命令列表?Q5.什么类型的编码用于命令参数?它与Base64编码有什么不同?它提供的优点和缺点各是什么?Q6.这个恶意代码会接收哪些命令原创 2021-06-15 22:46:40 · 438 阅读 · 0 评论 -
恶意代码分析实战14-02
本次实验我们将会分析lab14-02文件。先来看看要求解答的问题Q1.这个恶意代码使用哪些网络库?使用这些库的好处和坏处是什么?Q2.恶意代码信令中URL的信息源是什么?这个信息源提供了哪些优势?Q3.恶意代码利用了HTTP协议的哪个方面,来完成它的目的?Q4.在恶意代码的初始信令中传输的是哪种信息?Q5.这个恶意代码通信信道的设计存在什么缺点?Q6.恶意代码的编码方案是标准的吗?Q7.通信是如何被终止的?Q8.这个恶意代码的目的是什么?在攻击者的工具中,它可能会起到什么作用?运行恶意程序原创 2021-06-15 22:39:52 · 857 阅读 · 1 评论 -
恶意代码分析实战13-01
本次实验我们将会分析lab13-01.exe文件。先来看看要求解答的问题Q1.比较恶意代码中的字符串(字符串命令的输出)与动态分析提供的有用信息,基于这些比较,哪些元素可能被加密?Q2.使用IDA Pro搜索恶意代码中字符串’xor’ ,以此来查找潜在的加密,你发现了哪些加密类型?Q3.恶意代码使用什么密钥加密,加密了什么内容?Q4.使用PEiD插件识别一些其他类型的加密机制,你发现了什么?Q5.什么类型的加密被恶意代码用来发送部分网络流量?Q6.Base64编码函数在反汇编的何处?Q7.恶意原创 2021-06-15 22:35:49 · 602 阅读 · 0 评论 -
恶意代码分析实战13-02
本次实验我们将会分析lab13-02.exe文件。先来看看要求解答的问题Q1.使用动态分析,确定恶意代码创建了什么?Q2.使用静态分析技术,例如xor指令搜索、FindCrypt2、KANAL等查找潜在的加密,你发现了什么?Q3.基于问题1的回答,哪些导入函数将是寻找加密函数比较好的一个证据?Q4.加密函数在反汇编的何处?Q5.从加密函数追溯原始的加密内容,原始加密内容是什么?Q6.你是否能够找到加密算法?如果没有,你如何解密这些内容?Q7.使用解密工具,你是否能够恢复加密文件中的一个文件到原原创 2021-06-15 22:32:09 · 344 阅读 · 0 评论 -
恶意代码分析实战13-03
本次实验我们将会分析lab13-03.exe文件。先来看看要求解答的问题Q1.比较恶意代码的输出字符串和动态分析提供的信息,通过这些比较,你发现哪些元素可能被加密?Q2.使用静态分析搜索字符串xor来查找潜在的加密。通过这种方法,你发现什么类型的加密?Q3.使用静态工具,如FindCrypt2、KANAL识别其他类型的加密机制。发现的结果与搜索字符XOR结果比较如何?Q4.恶意代码使用哪两种加密技术?Q5.对于每-种加密技术,它们的密钥是什么?Q6.对于加密算法,它的密钥足够可靠吗?另外你必须知原创 2021-06-15 22:27:50 · 475 阅读 · 1 评论 -
恶意代码分析实战14-1
本次实验我们将会分析lab14-01.exe文件。先来看看要求解答的问题Q1.恶意代码使用了哪些网络库?它们的优势是什么?Q2.用于构建网络信令的信息来源是什么,什么样的条件会引起信令的改变?Q3.为什么攻击者可能对嵌入在网络信令中的信息感兴趣?Q4.恶意代码是否使用了标准的Base64编码?如果不是,编码哪里不一样?Q5.恶意代码的主要目的是什么?Q6.使用网络特征可能有效探测到恶意代码通信中的什么元素?Q7.分析者尝试为这个恶意代码开发一个特征时,可能会犯什么错误?Q8.哪些特征集可能检原创 2021-05-30 16:14:55 · 439 阅读 · 0 评论 -
恶意代码分析实战17-3
本次实验我们将会分析lab17-03文件。先来看看要求解答的问题Q1.与lab12-02.exe比较,当你在虚拟机中运行这个恶意代码时会发生什么?Q2.怎么让这个恶意代码运行,并且关闭它的键盘记录呢?Q3.这个恶意代码使用了何种反虚拟机技术?Q4.你可以对系统做什么样的变化,从而使你能够永久避免恶意代码所使用的反虚拟机技术?Q5.为了让反虚拟机技术永久失效,你该如何用OllyDbg对二进制文件进行修补?在运行文件之前,打开process monitor设置过滤条件进行监控接着双击运行试验文件原创 2021-05-30 16:07:44 · 198 阅读 · 0 评论 -
恶意代码分析实战17-2
本次实验我们将会分析 lab17-02文件。先来看看要求解答的问题Q1.这个DLL导出了什么?Q2.尝试使用rundll.32.exe安装后,都发生了什么?Q3.它创建了哪些文件,这些文件都包含什么内容?Q4.它使用何种反虚拟机方法?Q5.在恶意代码运行时,怎么强制安装它。Q6.怎样可以永久禁用这些反虚拟机技术?Q7.每个安装的导出函数是如何工作的?将dll文件载入peview可以看到大量的导入函数,包括:RegSetValueEx:操作注册表ChangeService:操作服务B原创 2021-05-30 16:03:15 · 223 阅读 · 0 评论 -
恶意代码分析实战17-1
本次实验我们将会分析Lab17-01.exe文件。先来看看要求解答的问题Q1.这个恶意代码使用了什么反虚拟机技术?Q2.使用IDAPro,运行IDAPython脚本(提供的findAntiVM.py),看它发现了什么?Q3.每种反虚拟机技术成功执行后会发生什么?Q4.针对你的虚拟机,这些反虚拟机技术中哪些技术会生效?Q5.为什么每个反虚拟机的技术,会生效或失败?Q6.怎么使这些反虚拟机技术无效,从而让恶意代码运行?IDA载入文件,运行findAntiVM.py来自动查找存在漏洞的x86指令F原创 2021-05-30 15:59:42 · 232 阅读 · 0 评论 -
恶意代码分析实战6-2
本次实验分析lab06-02.exe.需要回答以下问题Q1main函数调用的第一个子过程执行了什么操作Q2位于0x40117f的子过程是什么Q3被main函数调用的第二个子过程做了什么Q4在这个子过程中使用了什么类型的代码结构Q5在这个程序中有任何基于网络的暗示吗Q6这个恶意代码的目的是什么先静态分析。将实验文件载入peview,查看其导入函数最下面这些internet开头的函数都是WinINet的一部分,这个库提供了通过网络使用http的一组简单的apiInternetOpenA:用原创 2021-05-30 15:57:05 · 226 阅读 · 0 评论 -
恶意代码分析实战6-1
本次实验我们将会分析lab06-01.exe,lab06-04.exe两个文件。先来看看lab06-01.exe要求解答的问题Q1由main函数调用的唯一子过程中发现的主要代码结构是什么Q2位于0x40105f的子过程是什么Q3这个程度的目的是什么尝试运行会发现程序一闪而过载入peview分析,查看其导入表可以看到WININET.dll,其中其中的InternetGetConnectState函数。利用Windows Internet(WinINet)API,应用程序可以使用http协议访问原创 2021-05-30 15:53:39 · 260 阅读 · 0 评论 -
恶意代码分析实战6-3
本次实验分析lab06-03.exe,需要回答如下问题Q1比较在main函数与6-2的main函数的调用。从main中调用的新的函数是什么Q2这个新的函数使用的参数是什么Q3这个函数包含的主要代码结构是什么Q4这个函数能够做什么Q5在这个恶意代码中有什么本地特征吗Q6这个恶意代码的目的是什么同样先载入peviewRegOpenKeyExA函数一般与RegSetValueExA一起用于往注册表中插入信息,在恶意代码将其自身或其他程序设置为随着系统开机就自启动以持久化运行时,通常会使用这两个原创 2021-05-29 15:33:18 · 205 阅读 · 0 评论 -
恶意代码分析实战18-3
本次实验我们将会分析lab18-4,lab18-5文件。将lab18-4载入peid可以看到是使用ASPack加壳的载入od第一条就是pushad我们单步步过pushad如下所示选中esp的值follow in dump然后下硬件断点执行后如下所示jnz指令的前一条是popad,我们知道跟在popad指令后面的应该是尾部跳转,尾部跳转可以将程序切换到oep运行。我们单步步过jnz在push指令后面看到了retn,它将跳转到压入栈的地址处运行,这可能就是尾部跳转单步步过原创 2021-05-29 15:27:03 · 170 阅读 · 0 评论 -
恶意代码分析实战18-2
本次实验我们将会分析lab18-03文件。将lab18-3载入peview可以看到这个壳是PECompact载入od默认405130为入口点使用od的插件来查找oep结果如下插件猜测的oep起始位置在40a110但是这里的这些指令不像是oep。而且这里它访问的值在0040a115处的栈底指针上方,如果这个地址不是文件的入口点,那么栈底指针之上的任何数据都不会被初始化。使用另外一个插件选项结果如下暂停在了ntdll中的一条指令上,这明显也不是oep使用插件不行的话,我们查原创 2021-05-29 15:23:29 · 228 阅读 · 0 评论 -
恶意代码分析实战18-1
本次我们将会分析lab18-1,lab18-2文件。将lab18-01载入peview无法查看导入表等信息将实验文件载入peid显示什么都没找到我们选择核心扫描结果扫出来是upx而查看节的时候可以看到有一个名为upx2的节接下来我们载入od,来手动脱壳来到尾部跳转的位置409f43处的jmp跳转指令后跟着一系列的0x00字节,跳转的目的地是一个比较远的位置我们在这里下断点,然后执行过来。单步之后来到了0040154f此处就是程序的入口点右键,如下操作在弹出的原创 2021-05-29 15:19:47 · 183 阅读 · 0 评论 -
恶意代码分析实战15-3
本次实验我们将会分析lab15-03.exe文件。先来看看要求解答的问题Q1.恶意代码怎样被初始化调用?Q2.恶意代码都做了什么?Q3.恶意代码使用了什么URL?Q4.恶意代码使用了什么文件名?首先使用IDA分析查看imports窗口看到了可疑函数URLDownloadToFile,WinExec再通读一下main调用上图的函数给当前进程创建快照而后是一个循环结构里面调用了ProcessFirst对应地,在循环的下面调用了Process32Next其组合使用可以用于列举当前原创 2021-05-29 15:16:05 · 466 阅读 · 0 评论 -
恶意代码分析实战15-2
本次实验我们将会分析lab15-02.exe文件。先来看看要求解答的问题Q1.程序初始化请求的URL是什么?Q2. User-Agent 域是如何产生的?Q3.初始化请求时,程序在内存页中查找什么?Q4.程序如何处理它从页中提取的信息?首先IDA载入分析,从头到尾稍微看下main在0040115a遇到了第一个对抗反汇编技术因为esp值是非0的,所以test指令返回结果一定是非零值那么下面的jnz指令的跳转是永远成立的其跳转的目的是40015e+1也就是jmp指令中间的位置,这是有问题的原创 2021-05-29 15:12:41 · 201 阅读 · 0 评论 -
恶意代码分析实战15-1
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题Q1.这个二进制程序中使用了何种对抗反汇编技术?Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程?Q3.这种对抗反汇编技术被使用了多少次?Q4.什么命令行参数会让程序输出“GoodJob”?首先载入IDA进行分析0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的jz跳转的地方是loc_401010+1,也就是这里跳转到指原创 2021-05-29 15:07:22 · 2851 阅读 · 0 评论 -
恶意代码分析实战20-2
本次实验我们将会分析lab20-03文件。先来看看要求解答的问题Q1.你可以在这个程序中得到什么有意思的字符串?Q2.导入函数表告诉你关于这个程序的什么信息?Q3.在0x4036F0处,存在一个以字符串Config error作为输入的函数调用,其后跟着一些指令,然后是一个对CxxThrowException的调用。除这个字符串外,这个函数还用到其他参数了吗?这个函数返回了什么?从这个函数被使用的上下文中,你可以得到哪些信息?Q4.在0x4025C8处的switch表中的6个项都做了什么?Q5.这原创 2021-05-28 15:06:16 · 127 阅读 · 0 评论 -
恶意代码分析实战20-1
本次实验我们将会分析lab20-1,lab20-2文件。先来看看要求解答的问题Lab20-1需要回答的问题如下Q1.在0x401040处的函数采用了什么参数?Q2.哪个URL被用来调用URLDownloadToFile?Q3.这个程序做了什么事情?Lab20-2需要回答的问题如下:Q1.在这个程序中,你可以从有趣的字符串中了解到什么?Q2.导入函数表告诉你关于这个程序的什么信息?Q3.在0x4011D9处创建对象的目的是什么?它有什么虚函数吗?Q4.哪个函数可能被在0x401349处的ca原创 2021-05-28 15:01:14 · 217 阅读 · 0 评论 -
恶意代码分析实战21-2
本次实验我们将会分析lab21-02文件。先来看看要求解答的问题Q1.恶意代码的资源节有什么有趣的东西?Q2.这个恶意代码是为x64编译的,还是为x86编译的?Q3.恶意代码是如何确定出它正在运行的环境类型的?Q4.与在x86环境中相比,恶意代码在x64环境中会做哪些不同的事情?Q5.恶意代码在x86环境中运行时会释放出哪些文件?你可以在哪里找到这些文件?Q6.当运行在x64机器上时,恶意代码丢弃了哪些文件?你在哪里能找到这个或这些文件?Q7.当运行在x64系统上时,恶意代码启动什么类型的进程原创 2021-05-28 14:57:26 · 438 阅读 · 0 评论 -
恶意代码分析实战21-1
本次实验我们将会分析lab21-01文件。先来看看要求解答的问题A1.当你不带任何参数运行程序时会发生什么?A2.根据你使用的IDAPro的版本,main函数可能没有被自动识别,你如何识别对main函数的调用?A3.从00000000140001 150地址到0x000000140001161地址的指令在栈上存储了什么?A4.在不改变二进制程序文件名的前提下,如何才能让这个程序运行它的真正负载?A5.0x000000140001205 位置的strncmp函数调用比较了哪两个字符 串?A6.0x原创 2021-05-28 14:54:10 · 505 阅读 · 0 评论 -
恶意代码分析实战1-1
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下:1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?2.这些文件是什么时候编译的?3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?5.是否有任何其他文件原创 2021-05-28 14:52:01 · 764 阅读 · 0 评论 -
恶意代码分析实战11-3
本次实验我们将会分析lab11-03.exe文件。先来看看要求解答的问题Q1.使用基础的静态分析过程,你可以发现什么有趣的线索?Q2. 当运行这个恶意代码时,发生了什么?Q3. Lab11-03.exe 如何安装Lab11-03.dll使其长期驻留?Q4.这个恶意代码感染Windows系统的哪个文件?Q5. Lab11-03.dll 做了什么?先来看lab11-03.exe,在字符串窗口看到inet_epar32.dll和net start cisvc。Net start命令用于在wind原创 2021-05-28 13:49:57 · 661 阅读 · 1 评论 -
恶意代码分析实战11-1
本次实验我们将会分析lab11-01.exe文件。先来看看要求解答的问题Q1.这个恶意代码向磁盘释放了什么?Q2.这个恶意代码如何进行驻留?Q3.这个恶意代码如何窃取用户登录凭证?Q4.这个恶意代码对窃取的证书做了什么处理?Q5.如何在你的测试环境让这个恶意代码获得用户登录凭证?Peview载入看到了ginadll和一个注册表,怀疑这可能是一个拦截gina的恶意代码查看导入函数可以看到一些操纵注册表和提取资源节的函数我们看到了名为TAGD的资源节可以看到它里面包含一个pe文原创 2021-05-28 13:45:11 · 357 阅读 · 0 评论 -
恶意代码分析实战11-2
本次实验我们将会分析lab11-02.exe文件。先来看看求解答的问题Q1.这个恶意DLL导出了什么?Q2.使用rundll32.exe安装这个恶意代码后,发生了什么?Q3.为了使这个恶意代码正确安装,Labl 1-02.ini必须放置在何处?Q4.这个安装的恶意代码如何驻留?Q5.这个恶意代码采用的用户态Rootkit技术是什么?Q6.hook代码做了什么?Q7.哪个或者哪些进程执行这个恶意攻击,为什么?Q8. .ini 文件的意义是什么?Q9.你怎样用Wireshark动态抓获这个恶意原创 2021-05-28 13:39:24 · 517 阅读 · 0 评论 -
恶意代码分析实战9-3
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题Q1.lab09-03.exe导入了哪些dllQ2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3.dll分配的基地址是什么Q4.当lab09-03.exe调用dll1.dll中的一个导入函数时,这个导入函数都做了什么Q5.当lab09-03.exe调用WriteFile函数时,写入的文件名是什么Q原创 2021-05-27 14:21:06 · 482 阅读 · 0 评论 -
恶意代码分析实战9-1
本次实验我们将会分析lab09-01.exe。先来看看要求解答的问题Q1.如何让这个恶意代码安装自身Q2这个恶意代码的命令行选项是什么Q3.如何利用ollydbg永久修补这个恶意代码,使其不需要指定的命令行密码Q4这个恶意代码就有系统的特征是什么Q5.这个恶意代码通过网络命令执行了哪些不同操作?Q6.这个恶意代码是否有网络特征?接下来跟着分析流程,我们会依次回答这六个问题。IDA载入本次实验文件,在main处查看交叉引用,看看是在哪儿调用了main双击跟入可以看到是在403945处调原创 2021-05-27 14:16:08 · 597 阅读 · 0 评论