20145326蔡馨熤《计算机病毒》——静态分析(1)

20145326蔡馨熤《计算机病毒》——静态分析(1)

基于样例代码lab01-01.exe和lab01-01.dll。

  • 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了。我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件。
  • lab01-01.exe的扫描报告如下,点击"行为分析"看看。

  • lab01-01.dll的扫描报告如下。点击"行为分析"看看。

  • lab01-01.exe和lab01-01.dll都没加壳,用PEiD我们可以看到这个文件的壳或编译器信息,有助于我们找到分析的方向。

  • 看看lab01-01.exe和lab01-01.dll的编译时间。
  • 两个文件几乎是同时编译的,说明它们可能有一定的联系,很可能共同完成某项工作。

  • 看看lab01-01.exe有哪些导入函数。从而判断该样本程序有什么功能。

  • Lab01_01.exe中有两个dll文件:KERNEL32.DLL和MSVCRT.DLL 从KERNEL32.DLL中可以看到10个导入函数。
  • MSVCRT.DLL是微软在windows操作系统中提供的c语言运行库执行文件,其中提供了C语言库函数的具体实现。我认为,这个exe文件主要的功能应该是把系统中某个关键位置的dll文件删除,并且替换换成这个程序中某段dll代码。
  • 从对这两个文件的分析来看,里面是否包含关于其他文件的线索可以帮助你在被该恶意代码感染的主机上进行搜索。

  • 在dll的文件信息中,我们可以看到它的网络行为:发送一个已连接的套接字数据,发送套接字的详细信息和端口号为:127.26.152.13:80;还可以看到这个文件有获取系统权限的行为。
  • 从对这两个文件的分析来看。是否有基于网络连接的线索可以用来探查这个恶意代码?
  • 在第一步上传Lab01_01.dll查看分析报告的时候,就有关于网络行为的描述。

  • 这两个文件主要的功能应该是把系统盘c:\windows\system32中的kernel.dll文件换成这个程序中的Kerne1.dll文件,非法获得系统权限。
时间: 2024-10-17 07:35:06

20145326蔡馨熤《计算机病毒》——静态分析(1)的相关文章

20145326蔡馨熤《计算机病毒》——代码的动静态分析结合

20145326蔡馨熤<计算机病毒>--代码的动静态分析结合 尝试使用各种动静态工具,对代码9-3.exe进行分析,回答如下问题: 该程序导入了哪些DLL? 先打开PEiD工具查看样例代码.这里发现了4个dll被调用. 另外还有一些dll文件呢,它是在程序运行的时候加载的.我们打开IDA Pro来载入程序进行分析.一般来说,在程序的运行中静态加载的话,会用到LoadLibrary这个函数.我们找找看. 在imports中找到后,双击,然后选中地址交叉引用.type对应的是p的话,说明是函数调用

20145326蔡馨熤《计算机病毒》——高级静态分析

20145326蔡馨熤<计算机病毒>--高级静态分析 尝试使用IDA PRO分析文件lab05-01.dll,回答如下问题: 1.PSLIST导出函数做了什么? 首先在view中选择exports窗口,然后找到PSLIST导出函数. 双击PSLIST,然后按空格键,转换为图形模式,这样的话,观察更直观. 双击第一个call语句.看看有什么发现.如图所示. dwplatformid与2进行比较,看现在是不是处于WIN32-NT的这个平台. majorversion与5进行比较, majorver

20145326蔡馨熤《计算机病毒》——静态分析(2)

20145326蔡馨熤<计算机病毒>--静态分析(2) 基于样例代码lab01-02.exe. 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-02.exe的扫描报告如下,点击"行为分析"看看. 利用PEiD查壳.结果显示的是"什么都没有",这个时候有两个办法解决.一是选择"深度扫描",二是点击"S

20145326蔡馨熤《计算机病毒》——静态分析(3)

20145326蔡馨熤<计算机病毒>--静态分析(3) 基于样例代码lab01-03.exe与lab01-04.exe 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-03.exe的扫描报告如下,点击"行为分析"看看. lab01-04.exe的扫描报告如下,点击"行为分析"看看. 利用PEiD进行查壳. lab01-03.ex

20145326蔡馨熤《计算机病毒》——动态分析(1)

20145326蔡馨熤<计算机病毒>--动态分析(1) 基于样例代码lab03-01.exe 找出这个恶意代码的导入函数和字符串列表. 说到导入函数,当然先想到静态分析里面的Dependency Walker工具. 不过,把恶意代码导入Dependency Walker工具的时候,感觉应该加了壳.所以用PEiD进行查壳. 再用脱壳工具进行脱壳,发现竟然脱壳失败. 再利用PEview查看,发现最开始都是乱码,看来的确加了壳.不过我们依旧可以看到有一些路径信息.还有一个网址.一个exe程序名(可能

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

20145326蔡馨熤<网络对抗>--恶意代码伪装技术实践 一.木马化正常软件 基于之前的后门程序,做一些修改.再将修改后的程序的名字改成一个正常软件的名字,蒙蔽用户的眼睛.哈哈哈,瞬间觉得自己好阴险.因为之前安装过Systracer这个工具,这次就把后门程序的名字改为"Systracer安装程序". 然后双击运行"Systracer安装程序.exe".并且成功回连到Kali. 但是有个不足之处,就是程序运行后,会弹出一个类似命令行的"黑框&q

20145326蔡馨熤《网络对抗》——MSF基础应用

20145326蔡馨熤<网络对抗>--MSF基础应用 实验后回答问题 用自己的话解释什么是exploit,payload,encode. exploit:起运输的作用,将数据传输到对方主机. payload:其实就是指装载的"具体内容".就相当于shellcode一样. encode:对需要传输的文件进行编码,使其达到免杀效果. 实验总结与体会 通过这次MSF基础应用的实验.我对MSF里面包括的6个模块都有了一定的认识,先是exploit模块,也就是我们说的渗透模块,包括主

20145326蔡馨熤《信息安全系统设计基础》第1周学习总结

20145326蔡馨熤<信息安全系统设计基础>第1周学习总结 教材学习内容总结: 一.Linux基础1.环境登录无需密码自动登录,系统用户名shiyanlou2.环境介绍本实验环境采用带桌面的Ubuntu Linux环境,实验中会用到桌面上的程序:LX终端(LXTerminal): Linux命令行终端,打开后会进入Bash环境,可以使用Linux命令GVim:非常好用的编辑器,最简单的用法可以参考课程Vim编辑器3.环境使用使用GVim编辑器输入实验所需的代码及文件,使用LX终端(LXTer

20145326蔡馨熤《信息安全系统设计基础》第14周学习总结

20145326蔡馨熤<信息安全系统设计基础>第14周学习总结 教材内容总结(过多内容不赘述) 1.虚拟存储器的三个重要能力: 它将主存看成是一个存储在磁盘上的地址空间的高速缓存,在主存中只保存活动区域,并根据需要在磁盘和主存之间来回传送数据,通过这种方式,高效的使用了主存. 它为每个进程提供了一致的地址空间,从而简化了存储器管理. 它保护了每个进程的地址空间不被其他进程破坏. 2.虚拟存储器是对主存的一个抽象. 3.支持虚拟存储器的处理器通过使用一种叫做虚拟寻址的间接形式来引用主存,处理器产