JavaShuo
欄目
標籤
20145326蔡馨熤《計算機病毒》——動態分析(1)
時間 2019-12-20
標籤
計算機病毒
動態
分析
欄目
系統安全
简体版
原文
原文鏈接
20145326蔡馨熤《計算機病毒》——動態分析(1)
基於樣例代碼lab03-01.exe
找出這個惡意代碼的導入函數和字符串列表。
網絡
說到導入函數,固然先想到靜態分析裏面的Dependency Walker工具。
編輯器
不過,把惡意代碼導入Dependency Walker工具的時候,感受應該加了殼。因此用PEiD進行查殼。
再用脫殼工具進行脫殼,發現居然脫殼失敗。
再利用PEview查看,發現最開始都是亂碼,看來的確加了殼。不過咱們依舊能夠看到有一些路徑信息、還有一個網址、一個exe程序名(多是寫入的惡意程序)、註冊表自啓動項鍵值。因此在以後的分析中應該重點關注網絡鏈接和下載、註冊表更改、新程序的寫入等操做。
利用Process Monitor分析
因爲這個工具項目過多,因此咱們應該進行過濾操做。好比指定相應的操做和進程名。
我發現惡意代碼在系統中寫入了一個新程序叫作vmx32to64.exe,這個新的可執行程序的長度爲7168。與Lab03-01.exe程序自己長度是一致的。
它將本身複製到了system32文件夾下。而後再看寫入的註冊表值。顯示對註冊表鍵值的更改爲功。雙擊查看詳情。
這是Lab03-01.exe點開後的效果。
使用Process Explorer分析,咱們在進程欄中發現了Lab03-01.exe。
雙擊能夠查看Lab03-01.exe的屬性。
查看Lab03-01.exe的DLL庫。
判斷這個程序應該是有聯網的操做,咱們對dll進行簽名驗證。
查看內存鏡像和硬盤鏡像中可執行文件的字符串列表。
經過Regshot快照對比。在運行Lab03-01.exe以前進行一次註冊表快照,運行以後再進行一次。
這個惡意代碼在主機上的感染跡象是什麼?
函數
網絡鏈接和下載。
寫入一個新的程序。
註冊表鍵值的更改。
這個惡意代碼是否存在一些網絡特徵,若是存在,它們是什麼。
因爲分析它有網絡行爲,因而用WireShark抓包。發現這個程序有一個向www.practicalmalwareanalysis.com鏈接的包。
與以前使用PEview的分析對比一下。
打開註冊表編輯器,觀察後,發現的確產生了變化,這裏忘截圖了。。。
在主機中查看被寫入的程序。
相關文章
1.
計算機病毒靜態分析1
2.
20145326蔡馨熤《網絡對抗》—— Web安全基礎實踐
3.
20145326蔡馨熤《網絡對抗》—— 網絡欺詐技術防範
4.
20145326蔡馨熤《信息安全系統設計基礎》期末總結
5.
計算機病毒靜態分析2
6.
20145326蔡馨熠《網絡對抗》——惡意代碼分析
7.
計算機病毒(1)
8.
20145120黃玄曦《計算機病毒》動靜態分析結合
9.
20145319 《計算機病毒》動態分析lab3-2
10.
計算機病毒分析與對抗
更多相關文章...
•
IP地址分配(靜態分配+動態分配+零配置)
-
TCP/IP教程
•
屏幕分辨率 統計
-
瀏覽器信息
•
使用Rxjava計算圓周率
•
算法總結-滑動窗口
相關標籤/搜索
計算機病毒
病毒
病態
Android病毒分析報告
活動分析
算法分析
系統安全
網站主機教程
PHP 7 新特性
NoSQL教程
計算
算法
靜態資源
0
分享到微博
分享到微信
分享到QQ
每日一句
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
1.
升級Gradle後報錯Gradle‘s dependency cache may be corrupt (this sometimes occurs
2.
Smarter, Not Harder
3.
mac-2019-react-native 本地環境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
4.
查看文件中關鍵字前後幾行的內容
5.
XXE萌新進階全攻略
6.
Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
7.
zabbix5.0通過agent監控winserve12
8.
IT行業UI前景、潛力如何?
9.
Mac Swig 3.0.12 安裝
10.
Windows上FreeRDP-WebConnect是一個開源HTML5代理,它提供對使用RDP的任何Windows服務器和工作站的Web訪問
本站公眾號
歡迎關注本站公眾號,獲取更多信息
相關文章
1.
計算機病毒靜態分析1
2.
20145326蔡馨熤《網絡對抗》—— Web安全基礎實踐
3.
20145326蔡馨熤《網絡對抗》—— 網絡欺詐技術防範
4.
20145326蔡馨熤《信息安全系統設計基礎》期末總結
5.
計算機病毒靜態分析2
6.
20145326蔡馨熠《網絡對抗》——惡意代碼分析
7.
計算機病毒(1)
8.
20145120黃玄曦《計算機病毒》動靜態分析結合
9.
20145319 《計算機病毒》動態分析lab3-2
10.
計算機病毒分析與對抗
>>更多相關文章<<