恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)

简介: 实验3-1:通过动态分析技术分析Lab03-01.exe中的恶意代码,探究其导入函数、字符串列表、感染特征及网络特征。实验环境为Windows XP SP3,使用Process Explorer、Strings、Process Monitor、PEiD、Wireshark等工具。分析过程中发现恶意代码创建了互斥体、修改了注册表以实现自启动,并尝试访问外部恶意链接。

Lab 3-1
使用动态分析技术来分析在Lab03-01.exe文件中发现的恶意代码。

问题

1、找出这个恶意代码的导入函数与字符串列表?
2、这个恶意代码在主机上的感染特征是什么?
3、这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?

操作环境

操作场景:
windows xp sp3
实验工具:
Process Explorer (监控恶意程序创建的进程信息)
Strings
Process Monitor (全面监控恶意程序对计算机产生的影响)
PEiD
Wireshark
实险文件:
Lab03-01.exe

实验思路

1.学会基本的动态分析工具的使用方法
2.监控恶意程序对本地计算机的修改
3.分析恶意程序的网络特征

1

image.png

有壳

image.png

有一个网址,猜测可能访问恶意连接,

还有几个关于注册表的内容,比如SOFTWARE\Microsoft\Windows\CurrentVersion\RUN这个键值下,这个是恶意程序经常用来实现自启动的表象。

2

这些工具找了我半天呜呜呜,终于是找到了几个能用的。

我感觉吧,还得强调软件打开的顺序。

打开wireshark开始抓包

打开Process Monitor点击过滤器,选择过滤器,选择Process Name进程名称,输入Lab03-01.exe

打开Process Explorer

最后执行恶意程序

image.png

首先点击视图,在下列视图下查看句柄,可以看到标黄的地方它是创建了一个互斥体,互斥体的名字就是WinVMX32。

恶意程序经常会创建互斥体,这样就可以对计算机的某一个资源实现在同一时刻只有一个对象对其进行访问。

同样再点击视图,在下列视图下查看动态链接库

image.png

标黄的动态链接库可以得知这个动态链接库是有进行联网操作的。具体做了什么Process Explorer工具暂时还看不出来。

所以我们应该使用Process monitor工具,设置过滤器如下:

image.png

image.png

结果如上图,首先对注册表的写入有seed这个键值,一般来说是有随机数的生成。

在第二个writefile在windows/system32目录下创建了一个名为vmx32to64这样的一个程序。

第三行,在注册表的HKEY_LOCAL_MACHINE\SOFTRARE\Microsoft\Windows\CurrentVersion\Run键值下创建了一个自启动项VideoDriver。注意在这个键值下是恶意程序经常使用的,这样就可以实现开机自启动的效果,我们去注册表跟踪一下这个键值看看:

image.png

可以看到这个键值就是要开机打开这个它创建的程序。

去该路径下找到这个vmx32to64.exe程序将其进行和恶意程序进行比对,可以发现他就是将自身拷贝到了这个目录下,最严谨的比对时应该通过md5进行比对。

3

最后wireshark抓包,在恶意程序运行的一瞬间,发现一个DNS解析,这里有一个网址,也正是我们上面Strings打印出来的可打印字符串,如下图:

image.png

视频能抓到个SSL数据包,但是我一直没找到,但是视频中说这包里面的数据有256字符,而且每次定期的发送随机字符,没有什么意义。

相关文章
|
开发工具 C语言 数据安全/隐私保护
免杀工具 -- FourEye
免杀工具 -- FourEye
852 0
免杀工具 -- FourEye
|
21天前
|
安全 Linux API
恶意代码分析入门--静态分析(chapter1_Lab01-01)
本文档介绍了在Windows XP SP3环境下,利用PEiD、Strings、PETools等工具对Lab01-01.exe和Lab01-01.dll两个文件进行恶意代码分析的过程。实验包括在线扫描、PE结构分析、检查是否加壳、分析导入函数、字符串搜索等步骤,最终推测出这两个文件的潜在恶意行为及目的。通过这一系列的静态分析手段,能够初步判断出恶意代码的性质与功能,为后续的深入研究提供了基础。
56 5
恶意代码分析入门--静态分析(chapter1_Lab01-01)
|
21天前
|
API Windows
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
实验分析了Lab01-02.exe文件,包括上传至VirusTotal检测、使用PEiD识别壳、FreeUPX脱壳、分析导入函数及字符串。结果显示文件被UPX壳包裹,脱壳后发现其可能通过创建服务和网络连接来实现恶意行为。
20 2
恶意代码分析入门--初次接触加壳的程序(chapter1_Lab01-02)
|
21天前
|
Windows
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03)
本实验通过分析Lab01-03.exe文件,探讨其是否被加壳、存在混淆迹象及功能相关的导入函数。实验在Windows XP SP3环境下进行,使用PEiD、Strings和LinxerUnpacker等工具。通过网络扫描和静态分析,初步发现该程序使用了OLE组件对象模型,并包含网络页面字符串。
30 2
恶意代码分析入门--通过脱壳机能够减轻我们的很多工作(chapter1_Lab01-03)
|
21天前
|
API Windows
恶意代码分析入门--PE结构能告诉我们很多信息(chapter1_Lab01-04)
本实验分析了Lab01-04.exe文件,通过VirusTotal检测其是否匹配反病毒特征,检查是否存在加壳或混淆,并使用PEiD、Strings、Resource Hacker等工具进行静态分析,提取资源文件,分析其编译时间、导入函数及潜在恶意行为。实验在Windows XP SP3环境下进行。
38 5
恶意代码分析入门--PE结构能告诉我们很多信息(chapter1_Lab01-04)
|
8月前
|
安全 网络协议 网络安全
OWASP Top 10 网络安全10大漏洞——A01,源码+原理+手写框架
OWASP Top 10 网络安全10大漏洞——A01,源码+原理+手写框架
|
6月前
|
SQL API Python
`bandit`是一个Python静态代码分析工具,专注于查找常见的安全漏洞,如SQL注入、跨站脚本(XSS)等。
`bandit`是一个Python静态代码分析工具,专注于查找常见的安全漏洞,如SQL注入、跨站脚本(XSS)等。
|
测试技术
[笔记]渗透测试工具Burpsuit《二》Proxy模块介绍以及使用
[笔记]渗透测试工具Burpsuit《二》Proxy模块介绍以及使用
|
安全 网络安全 PHP
网络安全实验十四 文件上传与注入攻击
网络安全实验十四 文件上传与注入攻击
151 1
|
存储 SQL XML
Burpsuite入门之target模块攻防中利用
1. 可以用来收集目标站点的更多资产 2. 可以探测一些自动加载的接口、内容等,有的内容并不能被访问者直接看见,通过抓包的方式就可以一目了然。
1035 2
Burpsuite入门之target模块攻防中利用