恶意代码分析入门--PE结构能告诉我们很多信息(chapter1_Lab01-04)

简介: 本实验分析了Lab01-04.exe文件,通过VirusTotal检测其是否匹配反病毒特征,检查是否存在加壳或混淆,并使用PEiD、Strings、Resource Hacker等工具进行静态分析,提取资源文件,分析其编译时间、导入函数及潜在恶意行为。实验在Windows XP SP3环境下进行。

Lab 1-4
分析Lab01-04.exe文件。

问题

1、将Lab01-04.exe文件上传至http://www.VirusTotal.com进行分析并查看报
告。文件匹配到了已有的反病毒软件特征吗?
2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?
如果该文件被加壳,请进行说壳,如果可能的话。
3、这个文件是什么时候被编译的?
4、有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
5、有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
6、这个文件在资源段中包含一个资源。使用Resource Hacker.工具来检查资源,然后抽取资源。从资源中你能发现什么吗?

操作环境

操作场景:
windows xp sp3

实验工具:
PEiD v0.95
Strings
Resource Hacker(新工具-可以将资源提取出来)
PETools
VirSCAN.org

实验文件:
Lab01-04.exe

实验思路

1.利用网络扫描工具对目标程序进行扫描
2.利用本地静态分析工具分析目标程序
3.提取资源中的内容

1

查壳无壳就不说了,然后用loadpe的pe编辑器查看程序编译的时间

image.png

由于作者的视频教程是2015年录制的,所以这个2019年的时间显然不准确啊,是被恶意修改了的。

4

image.png

WinExec可以执行一个程序,可以看到他有很多的关于Resource的资源的操作的API

image.png

还有以上一些关于提权的API

5

image.png

看到最后一个网址,很有可能就是恶意程序要打开的网址

\system32\wupdmgrd.exe有可能就是将自己改名放到了这个system32目录下

URLDownloadFileA很明显就能看到用于后台下载的API

WinExec配合执行这个程序

GetWindowsDirectoryA用于获取本地系统的Windows的目录,一般的作用就是将自己拷贝到windows的目录里去,目的主要的是为了混淆,让人以为他是正常的程序。

6

image.png

使用资源工具,提取出这个资源文件,保存为二进制文件,假设为exeimage.png

为了验证是否为exe程序,继续用loadPE软件查看特征值

image.png

由于DLL并没有被勾选上,所以它就是exe文件

相关文章
|
安全 网络安全 API
Hotmail邮箱设置Exchange的方法步骤
如何使用Exchange协议设置Hotmail邮箱:在邮件客户端(如Outlook)中添加新账户,选择Exchange服务,输入邮箱全址(@hotmail.com)和服务器地址(outlook.office365.com),启用SSL加密,完成设置后即可在各设备同步邮件、日历和联系人。AokSend提供触发式验证码发信服务,支持SMTP/API接口,高触达,独立IP和服务器。
扩展ASCII编码(Extended ASCII或8-bit ASCII)
扩展ASCII编码(Extended ASCII或8-bit ASCII)
2878 5
一劳永逸的方法解决:LNK1168无法打开 xxx.exe 进行写入 报错问题
一劳永逸的方法解决:LNK1168无法打开 xxx.exe 进行写入 报错问题
1619 2
|
Linux 数据库 数据安全/隐私保护
如何使用 Docker 安装宝塔面板
Docker 是一个高效、灵活、轻量级的容器化平台,可以在单个操作系统上实现多个容器化应用的隔离和运行。而宝塔面板是一款集成了 Web 服务器、数据库和运行环境的 Linux 服务器管理面板,其功能非常强大且易于使用。在本文中,我们将介绍使用 Docker 安装宝塔面板的优势和详细命令,让您轻松搭建自己的 Web 服务。
6952 3
|
10月前
|
监控 网络协议 网络安全
恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)
实验3-1:通过动态分析技术分析Lab03-01.exe中的恶意代码,探究其导入函数、字符串列表、感染特征及网络特征。实验环境为Windows XP SP3,使用Process Explorer、Strings、Process Monitor、PEiD、Wireshark等工具。分析过程中发现恶意代码创建了互斥体、修改了注册表以实现自启动,并尝试访问外部恶意链接。
226 3
恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)
|
10月前
|
安全 Linux API
恶意代码分析入门--静态分析(chapter1_Lab01-01)
本文档介绍了在Windows XP SP3环境下,利用PEiD、Strings、PETools等工具对Lab01-01.exe和Lab01-01.dll两个文件进行恶意代码分析的过程。实验包括在线扫描、PE结构分析、检查是否加壳、分析导入函数、字符串搜索等步骤,最终推测出这两个文件的潜在恶意行为及目的。通过这一系列的静态分析手段,能够初步判断出恶意代码的性质与功能,为后续的深入研究提供了基础。
237 5
恶意代码分析入门--静态分析(chapter1_Lab01-01)
|
6月前
|
机器学习/深度学习 存储 人工智能
Qlib:华尔街颤抖!微软开源金融AI量化投资神器,助力智能投研
Qlib是微软亚洲研究院推出的开源AI量化投资平台,提供从数据处理、模型训练到组合管理的全流程支持,内置高性能数据基础设施和多种机器学习模型。
1729 87
Qlib:华尔街颤抖!微软开源金融AI量化投资神器,助力智能投研
|
10月前
|
API Windows
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
实验分析了Lab01-02.exe文件,包括上传至VirusTotal检测、使用PEiD识别壳、FreeUPX脱壳、分析导入函数及字符串。结果显示文件被UPX壳包裹,脱壳后发现其可能通过创建服务和网络连接来实现恶意行为。
177 2
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
|
10月前
|
安全 API C语言
Python程序的安全逆向(关于我的OPENAI的APIkey是如何被盗的)
本文介绍了如何使用C语言编写一个简单的文件加解密程序,并讨论了如何为编译后的软件添加图标。此外,文章还探讨了Python的.pyc、.pyd等文件的原理,以及如何生成和使用.pyd文件来增强代码的安全性。通过视频和教程,作者详细讲解了生成.pyd文件的过程,并分享了逆向分析.pyd文件的方法。最后,文章提到可以通过定制Python解释器来进一步保护源代码。
227 6
|
10月前
|
网络协议 Linux 应用服务中间件
kali的常用命令汇总Linux
kali的常用命令汇总linux
731 7