恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)

简介: 实验3-1:通过动态分析技术分析Lab03-01.exe中的恶意代码,探究其导入函数、字符串列表、感染特征及网络特征。实验环境为Windows XP SP3,使用Process Explorer、Strings、Process Monitor、PEiD、Wireshark等工具。分析过程中发现恶意代码创建了互斥体、修改了注册表以实现自启动,并尝试访问外部恶意链接。

Lab 3-1
使用动态分析技术来分析在Lab03-01.exe文件中发现的恶意代码。

问题

1、找出这个恶意代码的导入函数与字符串列表?
2、这个恶意代码在主机上的感染特征是什么?
3、这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?

操作环境

操作场景:
windows xp sp3
实验工具:
Process Explorer (监控恶意程序创建的进程信息)
Strings
Process Monitor (全面监控恶意程序对计算机产生的影响)
PEiD
Wireshark
实险文件:
Lab03-01.exe

实验思路

1.学会基本的动态分析工具的使用方法
2.监控恶意程序对本地计算机的修改
3.分析恶意程序的网络特征

1

image.png

有壳

image.png

有一个网址,猜测可能访问恶意连接,

还有几个关于注册表的内容,比如SOFTWARE\Microsoft\Windows\CurrentVersion\RUN这个键值下,这个是恶意程序经常用来实现自启动的表象。

2

这些工具找了我半天呜呜呜,终于是找到了几个能用的。

我感觉吧,还得强调软件打开的顺序。

打开wireshark开始抓包

打开Process Monitor点击过滤器,选择过滤器,选择Process Name进程名称,输入Lab03-01.exe

打开Process Explorer

最后执行恶意程序

image.png

首先点击视图,在下列视图下查看句柄,可以看到标黄的地方它是创建了一个互斥体,互斥体的名字就是WinVMX32。

恶意程序经常会创建互斥体,这样就可以对计算机的某一个资源实现在同一时刻只有一个对象对其进行访问。

同样再点击视图,在下列视图下查看动态链接库

image.png

标黄的动态链接库可以得知这个动态链接库是有进行联网操作的。具体做了什么Process Explorer工具暂时还看不出来。

所以我们应该使用Process monitor工具,设置过滤器如下:

image.png

image.png

结果如上图,首先对注册表的写入有seed这个键值,一般来说是有随机数的生成。

在第二个writefile在windows/system32目录下创建了一个名为vmx32to64这样的一个程序。

第三行,在注册表的HKEY_LOCAL_MACHINE\SOFTRARE\Microsoft\Windows\CurrentVersion\Run键值下创建了一个自启动项VideoDriver。注意在这个键值下是恶意程序经常使用的,这样就可以实现开机自启动的效果,我们去注册表跟踪一下这个键值看看:

image.png

可以看到这个键值就是要开机打开这个它创建的程序。

去该路径下找到这个vmx32to64.exe程序将其进行和恶意程序进行比对,可以发现他就是将自身拷贝到了这个目录下,最严谨的比对时应该通过md5进行比对。

3

最后wireshark抓包,在恶意程序运行的一瞬间,发现一个DNS解析,这里有一个网址,也正是我们上面Strings打印出来的可打印字符串,如下图:

image.png

视频能抓到个SSL数据包,但是我一直没找到,但是视频中说这包里面的数据有256字符,而且每次定期的发送随机字符,没有什么意义。

相关文章
|
10月前
|
API Windows
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
实验分析了Lab01-02.exe文件,包括上传至VirusTotal检测、使用PEiD识别壳、FreeUPX脱壳、分析导入函数及字符串。结果显示文件被UPX壳包裹,脱壳后发现其可能通过创建服务和网络连接来实现恶意行为。
177 2
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
|
数据可视化 定位技术
svg数据可视化地图实战笔记
svg数据可视化地图实战笔记
418 0
|
10月前
|
安全 Linux API
恶意代码分析入门--静态分析(chapter1_Lab01-01)
本文档介绍了在Windows XP SP3环境下,利用PEiD、Strings、PETools等工具对Lab01-01.exe和Lab01-01.dll两个文件进行恶意代码分析的过程。实验包括在线扫描、PE结构分析、检查是否加壳、分析导入函数、字符串搜索等步骤,最终推测出这两个文件的潜在恶意行为及目的。通过这一系列的静态分析手段,能够初步判断出恶意代码的性质与功能,为后续的深入研究提供了基础。
237 5
恶意代码分析入门--静态分析(chapter1_Lab01-01)
|
5月前
|
人工智能 Java API
MCP客户端调用看这一篇就够了(Java版)
本文详细介绍了MCP(Model Context Protocol)客户端的开发方法,包括在没有MCP时的痛点、MCP的作用以及如何通过Spring-AI框架和原生SDK调用MCP服务。文章首先分析了MCP协议的必要性,接着分别讲解了Spring-AI框架和自研SDK的使用方式,涵盖配置LLM接口、工具注入、动态封装工具等步骤,并提供了代码示例。此外,还记录了开发过程中遇到的问题及解决办法,如版本冲突、服务连接超时等。最后,文章探讨了框架与原生SDK的选择,认为框架适合快速构建应用,而原生SDK更适合平台级开发,强调了两者结合使用的价值。
6935 33
MCP客户端调用看这一篇就够了(Java版)
|
10月前
|
API Windows
恶意代码分析入门--PE结构能告诉我们很多信息(chapter1_Lab01-04)
本实验分析了Lab01-04.exe文件,通过VirusTotal检测其是否匹配反病毒特征,检查是否存在加壳或混淆,并使用PEiD、Strings、Resource Hacker等工具进行静态分析,提取资源文件,分析其编译时间、导入函数及潜在恶意行为。实验在Windows XP SP3环境下进行。
173 5
恶意代码分析入门--PE结构能告诉我们很多信息(chapter1_Lab01-04)
|
人工智能 Linux iOS开发
本地部署大模型DeepSeek并通过Infortress App远程访问
本地部署DeepSeek大模型后,如何在外网用手机随时随地访问?无需复杂设置,通过Infortress App即可轻松实现!只需三步:安装Infortress服务端、一键部署DeepSeek大模型、安装手机/电脑客户端。Infortress支持纯图形化操作,适合新手,还自带内网穿透功能,跨网络访问无忧。让本地AI随身携带,数据掌控在手,随时随地使用!
|
8月前
|
机器学习/深度学习 人工智能 API
aliyun评测零门槛、即刻拥有 DeepSeek-R1 满血版
DeepSeek-R1满血版是一款零门槛、高性能的深度学习工具,旨在帮助开发者和研究人员高效实现创新。评测显示,其操作界面设计友好,左右分屏布局使理论与实践紧密结合,极大提升了操作连贯性和效率。用户可轻松获取API-KEY,并通过Chatbox配置进行深度学习对话,整个过程简单流畅。该工具在部署集成性、易用性及高性能计算支持方面表现出色,尤其适合本地软件部署,满足用户的实际需求。阿里云提供的详尽文档和引导也使得初次使用者能快速上手,体验极佳。
209 1
|
9月前
|
缓存 NoSQL 关系型数据库
Redis与MySQL的数据一致性
在高并发环境下,保持 Redis 和 MySQL 的数据一致性是一个复杂但重要的问题。通过采用读写穿透、写穿透、分布式锁、双写一致性保障和延时双删策略,可以有效地减少数据不一致的风险,确保系统的稳定性和可靠性。通过合理的缓存策略和数据同步机制,可以显著提升系统的性能和用户体验。
408 22
|
10月前
|
Windows
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03)
本实验通过分析Lab01-03.exe文件,探讨其是否被加壳、存在混淆迹象及功能相关的导入函数。实验在Windows XP SP3环境下进行,使用PEiD、Strings和LinxerUnpacker等工具。通过网络扫描和静态分析,初步发现该程序使用了OLE组件对象模型,并包含网络页面字符串。
96 2
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03)
|
10月前
|
人工智能
GenMAC:港大、清华联合微软推出文本到视频生成的多代理协作框架
GenMAC是由香港大学、清华大学和微软研究院联合推出的文本到视频生成的多代理协作框架。该框架通过任务分解、迭代循环和多代理协作,解决了复杂场景生成问题,显著提高了视频生成的准确性和文本对齐度。
121 5
GenMAC:港大、清华联合微软推出文本到视频生成的多代理协作框架