从入门到入土:恶意代码Lab03-03.exe|分析实验|运行截图|问题回答|
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除)
本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除!
若被用于非法行为,与我本人无关
恶意代码
- 一、概述
- 问题1:当你使用Process Explorer工具进行监视时,你注意到了什么?
- 问题2:你可以找出任何的内存修改行为吗?
- 问题3:这个恶意代码在主机上的感染迹象特征是什么?
- 问题4:这个恶意代码的目的是什么?
- 二、行为预览
- 三、清理方式
一、概述
题目:
在一个安全的环境中执行给定的文件(Lab03-03.exe)中发现的恶意代码,同时使用基础的静态分析和动态分析工具监视它的行为。
问题1:当你使用Process Explorer工具进行监视时,你注意到了什么?
Windows XP作为本次实验环境,第一步选择使用IDA静态分析Lab3-03.exe,发现该执行文件中有对内存、文件、线程的操作或处理,如下:
使用PEiD查看发现未加壳
使用Dependency Walker查看,结果如下:
可以看到有几个函数是对文件创建和进程创建等操作所以猜测该进程是在对内存中的文件进行改动
下面运行该程序,并用用Process Explorer工具进行监视:
- 可以看到该程序短暂运行了一下,与此同时,该程序启动了一个新的程序,并保留了下来svchost.exe
- 由于反复运行了好几次,所以产生了多个svchost.exe程序正在运行
- 恢复快照重新启动保留一个svchost.exe
- 猜测是恶意代码执行了对svchost.exe文件的替换
问题2:你可以找出任何的内存修改行为吗?
- 我们用Process Explorer点中那个单独出来的svchost.exe
- 然后在Image和Memory单选按钮之间切换
- 对比两者可以发现两者的区别很大
- 查询资料发现按照管理二者一般会是相同的但是这里没有完全相同
- 因为practicalmalwareanalysis.log的字符串,还有就是[ENTER]和[SHIFT]
- 一般情况下不会在svchost.exe中出现的Image
- 正常的svchost.exe里的Image和Mermory都是相同的。
- 然后出现了[ENTER]和[CAPS LOCK]这些字符串,这个很可能是个键盘记录器
- 随意在一个文本文件中输入一些字母
- 然后打开procmon查看进程情况
- 可以看到svchost.exe反复运行
- 一直在不断的CreateFile和WriteFile
- 然后我们找到这个log文件,其实就在可执行程序的同一个目录下
- 可以看到最近生成的log
- 记录了在test.txt中键盘的输入
- 注意文中出现的[ENTER],记录了键盘输入的信息,还有该主机打开文件的记录等
问题3:这个恶意代码在主机上的感染迹象特征是什么?
- 根据上面的分析,迹象就是创建了一个praticalmalwareanalysis.log文件
问题4:这个恶意代码的目的是什么?
通过上面的分析,和上传到VirusTotal网站的信息来推测,该恶意程序可能是一个键盘记录器
二、行为预览
- 恶意代码名称
Lab03-03.exe
2.恶意代码类型
计算机病毒
3.恶意代码大小
52.0KB
4.传播方式
复制
5.相关文件
无
6.恶意代码具体行为
记录键盘输入
7.感染类型
复制
8.开放工具
9.加壳类型
未加壳
三、清理方式
删除exe
从入门到入土:恶意代码Lab03-03.exe|分析实验|运行截图|问题回答|相关推荐
- 网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
网络空间安全 恶意流量和恶意代码 学习入门(一) 说明: 希望通过使用 Wireshark 分析数据包,来更好理解网络恶意流量和恶意代码的作用流程和原理,同时也分享给大家. 一.概念介绍 PCAP 是 ...
- 从入门到入土:[SEED-Lab]MD5碰撞试验|MD5collgen实验|linux|Ubuntu|MD5 Collision Attack Lab|详细讲解
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出.欢迎各位前来交流.(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益.不合适引用,自当删除! 若 ...
- 从入门到入土:IP源地址欺骗dos攻击实验
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出.欢迎各位前来交流.(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益.不合适引用,自当删除! 若 ...
- python exe文件运行依赖环境_python将py代码文件转换为EXE脱离环境运行
如何将python将py代码文件编译成为EXE文件,让其能够脱离python环境独立运行? 方法是有的,下面大家请看如何来操作. 我的环境是VS2017,同时安装了ironpython 一.安装pyi ...
- [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- [论文阅读] (23)恶意代码作者溯源(去匿名化)经典论文阅读:二进制和源代码对比
<娜璋带你读论文>系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢.由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学 ...
- [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- 2018-2019-2 网络对抗技术 20165324 Exp4:恶意代码分析
2018-2019-2 网络对抗技术 20165324 网络对抗技术 Exp4:恶意代码分析 课下实验: 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析E ...
- Exp4 恶意代码分析 20164302 王一帆
1.实践目标 1.1监控自己系统的运行状态,看有没有可疑的程序在运行. 1.2分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systra ...
最新文章
- 【Kotlin】Kotlin 类的继承 三 ( super 关键字使用 | super@ 外部调用父类方法 | 子类选择性调用 父类 / 接口 方法 super )
- Spring for Android 1.0.0发布
- 计算机考试考前准备,考前必看如何正确准备计算机等级考试 -电脑资料
- [爬虫+数据分析] 分析北京Python开发的现状
- 三星显示、LG已开始为苹果iPhone 13生产OLED屏幕
- antd 能自适应吗_我文笔不好,不太会写文章,能做好自媒体吗?
- Excel 只需要几秒钟就可以解决大问题的好技巧
- Linux --忘记root密码/su: Authentication failure
- idea中使用github
- 使用自定义功能构建Mamdani系统
- 学习笔记:模式学习-生成器模式
- stagefright
- 酷播智能缓冲服务器,酷播服务器
- 红外遥控接收发射原理及ESP8266实现
- 在组策略中 计算机策略仅对,在组策略中,计算机策略仅对()生效。 - 问答库...
- 《Java解惑》系列——01表达式之谜——谜题09:半斤
- 进行的vistor实验
- 服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined
- 帧定格(用于定格画面添加字幕或者图片)
- python excel word模板_Python将Excel数据插入Word模板生成详细内容文档