恶意代码分析实战实验Lab1的1~4题

已于 2022-03-10 10:50:58 修改
阅读量1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战实验 文章标签: 恶意代码分析实战实验
于 2021-11-05 17:36:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42877778/article/details/121163947
本文记录了一位学生在学习恶意代码分析课程中的实践过程,包括使用PEiD检查加壳、DependencyWalker查看导入函数、strings工具分析字符串、OD调试器进行动态分析等技术。在实验中,通过对样本的上传、加壳检测、脱壳、函数分析等步骤,深入理解恶意代码的行为和特征。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

因为选修了恶意代码分析这门课,而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,因此在这里记录一下自己的做法和参考链接。

实验下载

访问书中给定的网址并进行实验下载,由于网址全都是英文书写,以下给出具体下载方式链接:下载点击步骤
最终也是转到GitHub中下载:GitHub下载链接

第一章实验

Lab1-1

(1)将恶意代码上传到一个网页并分析查看报告。

直接上传该样本就可以看到文件匹配到已有特征,需要先在虚拟机上联网
虚拟机联网设置

(2)文件是什么时候编译的

看一个文件是什么时候编译的可以在PEView的IMAGE_FILE_HEADER中查看时间戳,但有时候该时间戳并没有,在第一小问中的上传到网页中进行分析时也可以看到程序编译时间。

(3)是否加壳

直接使用PEiD,看编译方式,C++表示没有加壳,同时对于加壳程序PEiD还可以给出加壳方式
在这里插入图片描述

(4)通过导入函数看功能

看函数功能可以使用strings或者是Dependency Walker都可以。
新手使用strings指南:strings直接打开该.exe软件会出现闪退的现象,实际的使用方法应该是利用cmd命令行窗口cd到需要进行测试的恶意代码所在目录,然后使用“strings 恶意程序名称“ 命令来查看所该恶意代码使用到的函数。参考下图,这里实际就两行代码,但由于恶意代码所在目录较深,因此看着比较多。
在这里插入图片描述
当使用的是Dependency Walker软件时,需要查看的是msvcrt.dll中导入的函数(因为该模块导入的函数通常是每个

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析实战Lab1
ACdream
01-25 1237
0101分析 这里可以查看到时间戳 如上图,使用PEiD可以侦测壳,发现这个DLL和EXE都是无壳的,VC++6.0编译的 接着使用IDA对代码进行简单的静态分析分析DLL: OpenMutex和CreateMutex说明是多客户端 CreateProcess说明在远端的服务器有在本地开启进程的权限 这里可以看到恶意代码服务端的IP地址:127.26.152.
恶意代码分析实战实验Lab 1-1
m0_37442062的博客
05-04 1276
Lab 1-1Lab01-01.exe和Lab01-01.dll进行分析 1.将文件上传至http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? Lab01-01.exe: 在details里可以看到基础属性、检测历史、命名、PE信息(头、节、导入导出表等) 在community可以看到一些沙箱的分析报告等,有助于对样本加深理解。 Lab01-01.dll:同理上传即可 2.这些文件是什么时候编译的? 使用PEView,这里应该有一个Time
恶意代码分析实战后练习
11-04
恶意代码分析实战后练习
恶意代码分析实战lab1-4
weixin_51588494的博客
03-25 523
并放入dependency walker中查看其导入函数,有一个很特殊的urldownloadtofile,从网上下载文件。其中OpenProcessToken函数,可以核验程序是否有执行权限,用于权限审计和安全检查,不同api之间的调剂,对于恶意代码来说是比较重要的获取权限的函数。通过对函数的分析以及云沙箱的报告,该恶意程序的功能大概是,访问修改注册表,修改用户权限,并联网访问特定的URL。没有看见什么,就是在字符串中可以看到的明文,还有注意到就是,在其运行的时候会有一个特定的exe文件进行运行。
恶意代码分析实战Lab1-4
王陈锋的博客
04-10 797
Lab1-4 目录 Lab1-4 2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 3.这个文件是什么时候被编译的? ​4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么? 5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器? 6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?依次分析 .
恶意代码分析实战 Lab 1-4笔记
isinstance的博客
08-29 2484
Lab 1-41.将文件上传并查看报告。解答: 我们就传一次看看Basic Properties MD5 625ac05fd47adc3c63700c3b30de79ab SHA-1 9369d80106dd245938996e245340a3c6f17587fe Authentihash e4d9d8ea008b5521c4b4273b8a276cf618db3f8af0bdd2f1
恶意代码分析实战Lab01——03&04
4SecNet团队专栏
12-21 932
第一步:查看文件是否加壳: 加了壳,FSG壳,在我之前的博客里边有过脱FSG壳的具体简称,这里就不再赘述,直接脱出来,加载到OD中: 第二步:将程序,用IDA打开进行详细分析: 第三步:分析main函数; 可以看到这个main函数的内容相对比较简单,只是几个API函数的调用,所以只要将这几个API函数的功能搞清楚基本就分析完了: 嘴和新的一点是IDA没有解析出来的.就是该程序在运行的时候,...
恶意代码分析实战
03-07
"恶意代码分析实战"这个主旨在帮助专业人士掌握如何识别、分析并防范这些威胁。通过对恶意代码的剖析,我们可以了解其工作原理,从而设计出更有效的防御策略。 恶意代码通常伪装成正常程序,诱使用户下载或执行,...
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1423
Lab 1-2 问 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战 lab1-4
Yale的博客
02-21 631
q3:文件是什么时候编译的 载入petools 文夹头-》时间、日期标志 可以看到时间。 Q4: 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么 peid载入 可以看到一些dll 比如advapi32.dll 有一些权限、注册表相关的操作 再比如kernel.dll有很多文件相关的操作 q6: ...
恶意代码分析实战后练习
09-04
恶意代码分析实战后资料,如果有兴趣的同学可以下载,然后通过7z解压,
恶意代码分析实战 Lab 1-1笔记
isinstance的博客
08-24 3266
Lab 1-11.将文件上传至http://www.virustotal.com/ 进行分析并查看报告。文件匹配到了已有的反病毒的特征吗?解答:这个上传就行了,不过就是要注意www.virustotal.com已经被墙了2.这些文件是什么编译的?解答: 根据本书结尾附录的方法是 使用PEview来打开文件。对于每个文件,我们可以浏览 IMAGE_NT_HEADERS > IMAGE_
恶意代码分析实战实验9-1
qq_43481350的博客
09-01 516
实验环境: 实验设备环境:windows xp 实验工具:strings,IDAPro,Ollydbg,Process explore 实验过程 使用strings进行静态分析: 我们可以看到此字符串中包含有一些网络连接函数以及创建线程的API函数。 接下来我们采用OD结合IDA的方式进行分析: 但是由于OD无法准确的定位到main函数开始的位置,所以需要采用IDA确定函数开始执行的位置: 在这里我们可以看到main函数的地址为:00402AF0,现在我们可以在OD中跳到这个地址: ...
恶意代码分析实战_实验练习
weixin_41487541的博客
02-14 3869
Lab1-1 2. 这些文件是什么时候编译的? 在PE文件中,IMAGE_NT_HEADERS > IMAGE_FILE_HEADER > Time Date Stamp字段记录了文件编译时间。利用 010 Editor 打开exe文件和DLL文件,找到相应字段如下: 可知exe文件编译时间为2010.12.19 16:16:19 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 利用PEiD检测两个文件的加壳情况: ...
实验恶意代码分析
a1744930337的专栏
10-24 325
学号 201421420021 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验恶意代码技术 学生姓名 李镇吉 年级 2014级 ...
恶意代码分析实战 Lab 4笔记
isinstance的博客
09-05 688
Lab 4本身Lab 4是没有习然后本身在大学就学过两个学期两门的汇编(第一门好像是和数电更接近一点,另一门就是汇编语言)然后这章,如果大学学的不是信息安全,或者连计算机都不是的同学, 我还是建议大家买本有关汇编的书看看,这样后面的分析可能会更有用一点然后我们这次来讲讲汇编的各种跳转指令(这是我写到Lab 7-2的时候觉得还有是必要写一下,因为中文搜索引擎是找不到特别详细的介绍的,只有一些肤浅的
恶意代码分析与实践lab1
最新发布
qq_74420726的博客
09-23 2096
恶意代码分析实战》第一章的作业
恶意代码分析实战lab1-1/lab1-2/lab1-3/lab1-4
YANG12345_6的博客
10-12 1288
恶意代码分析实战lab1-1lab1-2lab1-3 之前看过一个学长的简历,做过dll注入和恶意代码分析,于是自己也想尝试一下,dll注入只做过两个比较简单的例子,来进军一下恶意代码分析lab1-1 文件检测网站:virustotal.com. 不知道这个网站是做什么的,测试一下 上传一个没有问的文件: 检测结果全是绿的 上传一个有问的文件: 下面将实验给的文件拖进去分析lab1-1.dll lab1-1.exe 编译时间: 之前学了PE文件结构,但是学归学,没有应用过还是啥都记不住,
恶意软件分析实战01-分析3个恶意程序
輚至消亡
07-13 1887
Lab1-2: 分析Lab01-02.exe文件: 首先拖入PEID发现该软件加过UPX壳 脱壳, 在拖入PEID后, 发现是VC++写的: 将其拖到VirusTotal上分析。发现有恶意行为: 其导入了如下dll: 推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。 观察其导入的函数, 主要可以归纳: 1. 其创建了线程。并可能创建多个因为有互斥量存在。 2. 其创建了系统服务,可能是要以系统服务方式启动。 3. 打开了一个url...
恶意代码分析实战》配套练习库解析指南
恶意代码分析实战》是一本专注于恶意代码分析实战性教材,由Michael Sikorski与Andrew Honig合著。本书不仅涵盖了恶意代码的基础知识,还提供了大量实战练习,帮助读者通过实际操作来提高分析技能。恶意代码分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值