恶意代码分析实战Lab3-1
Lab3-1
使用动态分析基础技术来分析lab03-01.exe
目录
Lab3-1
1.找出这个恶意代码的导入函数与字符串列表
2.这个恶意代码在主机上的感染迹象特征是什么
3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么?
1.找出这个恶意代码的导入函数与字符串列表
首先PEiD查壳,发现加壳
从导入表中可以发现只有一个导入的动态链接库
利用peview可以看到更多的动态链接库
WS_32.dll是为网络所用的文件。
ws2_32.dll是WindowsSockets应用程序接口,用于支持Internet和网络应用程序;
表明它有联网功能
利用ida进行分析
2.这个恶意代码在主机上的感染迹象特征是什么
接下来进行动态分析。
运行程序Lab03-01.exe
启动process monitor进行分析
恶意代码一般多是会修改注册表,写文件,设置关键字RegSetValue,WriteFile进行过滤。
可以看得第四条往后都有Seed,Seed说明该程序用了随机数。
点击第二条信息的属性,可以看到程序往C:\WINDOWS\system32\vmx32to64.exe写入7,168个字节的数据。
我们接着发现我们的恶意程序的大小刚好就是7,168字节。我们猜测,恶意程序将自己复制进C:\WINDOWS\system32\vmx32to64.exe中。
接着我们需要进行校验这个想法,办法就是进行md5进行对照。
经过对照我们发现,md5一致。vmx32to64.exe就是恶意程序自身复制伪装的程序。
我们再看第三条,点击属性查看。
新创建的注册表项在HKLM\SOFTWARE\Microsoft\Windows\CurentVersion\Run位置,名为VideoDriver,在\Run文件夹中,用于系统启动时自动运行vmx32to64.exe。
启动Pc hunter进行分析,我们在查看Lab03-01.exe进程句柄的时候发现,进程创建了一个名为WinVMX32 的互斥量。
在进程模块中,发现调动了之前发现的 WS2_32.dll,与网络进行连接。
3.这个恶意代码是否存在一些有用的网络特征,如果存在,是什么?
利用wireshark进行抓包分析
wireshark 1.10.6是最后支持xp的,比较难找,目前还没找到,所以这步的虚拟机改在windows10上使用。好家伙,程序运行不起来。
我又去找了下wireshark支持xp的版本,然后又找到了。
先不说技术学得如何,工具倒是一堆一堆的。。。
DNS中有一个对www.practicalmalwareanalysis.com的请求。这个可以作为网络特征。
恶意代码分析实战Lab3-1相关推荐
- 恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)
本文章为<恶意代码分析实战>的题目答案解析以及个人的一些理解,将通过一下问题对恶意代码Lab05-01.dll进行分析: D1lMain的地址是什么? 使用Imports窗口并浏览到get ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 恶意代码分析实战Lab1
第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...
- 恶意代码分析实战Lab03-01
注:分析恶意代码一定要在安全的环境下,如与主机和外网隔离的虚拟机=>网络适配器选择主机模式或模拟一个与主机和外网隔离的虚拟网络:以及给拍个干净快照: 平台:博客园 恶意代码分析:虚拟网络环境配置 ...
- 学习笔记-第十四章 恶意代码分析实战
第十四章 恶意代码的网络特征 1.网络应对措施. 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施.根据IP地址和端口,防火墙和路由器可以限 ...
- 恶意代码分析实战 11 恶意代码的网络特征
11.1 Lab14-01 问题 恶意代码使用了哪些网络库?它们的优势是什么? 使用WireShark进行动态分析. 使用另外的机器进行分析对比可知,User-Agent不是硬编码. 请求的URL值得 ...
- 恶意代码分析实战Lab3-2
Lab3-2 使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码. 目录 Lab3-2 1.你怎样才能让这个恶意代码自行安装? 2.安装之后如何让恶意代码运行起来? 3.怎么可以 ...
- 恶意代码分析实战 9 隐蔽的恶意代码启动
9.1 Lab12-1 分析 查看程序的导入函数. 通过这几个函数,可以推断出是远程线程注入. 使用ProMon检测,并没有看到什么有用的信息. 使用Proexproer检查. 也没有什么有用的信息. ...
- 学习笔记-第十二章 恶意代码分析实战
第12章 隐蔽的恶意代码启动 1.启动器启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码.启动器的目的是安装一些东西,以使恶意行为对用户隐蔽.启动器经常包含它要加载的恶意代码. ...
- 恶意代码分析实战 8 恶意代码行为
8.1 Lab 11-01 代码分析 首先使用strings进行分析. Gina是在 msgina.dll中的. 很多有关资源的函数. 关于注册表的函数. 使用ResourceHacker查看. 发现 ...
最新文章
- “围剿”杀人机器人,周志华、Hinton等57位学界大牛出手了
- ubuntu 安装redis两种方式 教程
- 9.动态生成实体类,根据XML模板使用Emit生成动态类绑定到DataGrid
- 算法32---图片平滑器
- Axure RP 8.0 Mac中文破解版链接
- SEM和SEO有什么区别,哪种更好一些
- python整数反转
- mysql多数据源配置
- JQuery学习之路Part8:家族树操作(查找祖先、后代、兄弟同胞、绝对查找)【完结】
- 苹果授权登录Sign In With Apple亲测通过版[100%成功]
- 写给新入职的毕业生们(一)
- 【SVN】新旧服务器更替,完成svn服务器迁移
- 【源码阅读】SIR-GN: A Fast Structural Iterative Representation Learning Approach For Graph Nodes
- 中国五金行业B2B电商峰会3月24日将于郑州召开
- R语言用标准最小二乘OLS,广义相加模型GAM ,样条函数进行逻辑回归LOGISTIC分类...
- 如何搭建一个机器人控制系统
- NOI2018 游记
- 《JAVA》课程设计报告--企业人力资源管理系统
- x32dbg、x64dbg获取剪贴板数据分析
- Ecel 粘贴图片并调整大小,移到底层