恶意代码分析实战Lab3-2
Lab3-2
使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。
目录
Lab3-2
1.你怎样才能让这个恶意代码自行安装?
2.安装之后如何让恶意代码运行起来?
3.怎么可以找到这个恶意代码在哪个进程下运行的?
4.你可以在procmon中设置什么样的过滤器,才能收集到这个恶意代码的信息?
5.这个恶意代码在主机上的感染迹象特征是什么?
6.此恶意代码是否存在一些有用的网络特征码?
1.你怎样才能让这个恶意代码自行安装?
对于这个程序来说题目要求是动态分析,但在这里,可以先进行静态的
我对文件进行pe分析的时候发现一些很熟悉的dll动态链接库,恶意程序的老伙伴了。
这个恶意程序肯定跟网络有关。
然后我对导入表进行分析,查看里面的函数
我发现程序会创建进程和线程。
我发现程序还会创建服务,操控服务,操作注册表。
程序对网络进行操作。
接着对导出表分析,发现下面5个导出函数
然后就是查看其中的字符串信息了
发现了网址
还有一些程序
猜测这个程序是恶意程序自主运行的
里面还有一些下载文件的、运行程序的
还有之前看到的导出函数
注册表操作
Windows系统中的rundll32.exe专用于运行dll程序,就先用导出函数中的installA来尝试安装程序,
rundll32.exe Lab03-02.dll,installA
然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件
2.安装之后如何让恶意代码运行起来?
这里就需要用到regshot的快照对比了,这里害的我返回快照文件,但发现这个虚拟机根本没有快照文件,我只能先删除上面安装的dll文件,但经过分析,根本没有删干净,这会让判断失误,于是就进行系统重装再来。
先进行快照全部注册表,再进行安装Lab03-02.dll。
这个是快照比较报告,很容易看出有什么不同,淦,怪不得我没删干净,东西很多啊。
里面会有很多的新添键,就不一一截图了。
这里有个IPRIP服务。
这个是运行程序的关键点。
程序会动态链接这个恶意代码dll。
windows启动服务
net start IPRIP启动程序
3.怎么可以找到这个恶意代码在哪个进程下运行的?
打开process explore,在里面查找Lab03-02.dll,发现是svchost.exe运行的。
从网上下的有些软件,令人头大,居然有些功能不能用,居然还是最经常用的查找功能,真是令人,令人再去找其他软件。
4.你可以在procmon中设置什么样的过滤器,才能收集到这个恶意代码的信息?
刚开启软件,就发现一大堆的注册表的操作
可以利用上面找到svchost的PID1028,来做过滤条件。
已经猜到了一堆注册表操作
5.这个恶意代码在主机上的感染迹象特征是什么?
感染迹象创建IPRIP服务
6.此恶意代码是否存在一些有用的网络特征码?
使用了pc hunter查看了网络情况,发现了1028的端口的网络迹象。
还可以用一些DNS访问记录工具查看,目前这些工具,我还没配齐,等后面会进行补充。
恶意代码分析实战Lab3-2相关推荐
- 恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)
本文章为<恶意代码分析实战>的题目答案解析以及个人的一些理解,将通过一下问题对恶意代码Lab05-01.dll进行分析: D1lMain的地址是什么? 使用Imports窗口并浏览到get ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 恶意代码分析实战Lab1
第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...
- 恶意代码分析实战Lab03-01
注:分析恶意代码一定要在安全的环境下,如与主机和外网隔离的虚拟机=>网络适配器选择主机模式或模拟一个与主机和外网隔离的虚拟网络:以及给拍个干净快照: 平台:博客园 恶意代码分析:虚拟网络环境配置 ...
- 学习笔记-第十四章 恶意代码分析实战
第十四章 恶意代码的网络特征 1.网络应对措施. 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施.根据IP地址和端口,防火墙和路由器可以限 ...
- 恶意代码分析实战 11 恶意代码的网络特征
11.1 Lab14-01 问题 恶意代码使用了哪些网络库?它们的优势是什么? 使用WireShark进行动态分析. 使用另外的机器进行分析对比可知,User-Agent不是硬编码. 请求的URL值得 ...
- 恶意代码分析实战 9 隐蔽的恶意代码启动
9.1 Lab12-1 分析 查看程序的导入函数. 通过这几个函数,可以推断出是远程线程注入. 使用ProMon检测,并没有看到什么有用的信息. 使用Proexproer检查. 也没有什么有用的信息. ...
- 学习笔记-第十二章 恶意代码分析实战
第12章 隐蔽的恶意代码启动 1.启动器启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码.启动器的目的是安装一些东西,以使恶意行为对用户隐蔽.启动器经常包含它要加载的恶意代码. ...
- 恶意代码分析实战 8 恶意代码行为
8.1 Lab 11-01 代码分析 首先使用strings进行分析. Gina是在 msgina.dll中的. 很多有关资源的函数. 关于注册表的函数. 使用ResourceHacker查看. 发现 ...
最新文章
- 利用BP神经网络教计算机识别语音特征信号(代码部分SL)
- 无线路由器打印机服务器设置密码,路由器怎么设置打印机服务器设置
- 注册博客第一天,有些激动
- 说说设计模式~组合模式(Composite)
- java 9999 符号_java 9999(示例代码)
- 【剑指offer15.二进制中1的个数】——位操作(左移右移等)
- XForum 里用 Filter 编程实现安全访问控制
- 条件信息熵的决策表约简
- leetcode题解227-基本计算器 II
- 机器学习实战 Tricks —— 训练数据均值标准差标准化测试样本
- 操蛋!新来的同事竟然不会在javaee项目中使用WebSocket~
- Mastik:微体系结构侧信道攻击工具包
- Centos7.5部署MySQL5.7基于GTID主从复制+并行复制+半同步复制+读写分离(ProxySQL) 环境- 运维笔记 (完整版)...
- ckplayer超酷flv网页播放器
- IOS设备与Windows面对面互传文件
- 哆啦A梦主题乐园,一定要去!
- docker 进入容器方法
- php 一键登录插件,帝国CMS一键登录插件(带后台管理)
- MATLAB演奏音乐
- 如何利用批处理启动cmd并进入指定目录