恶意代码分析实战-PE资源提取

场景

1、提取恶意代码中的资源部分内容

思路

存在Loadresource函数的时候说明有一部分内容在资源里。

技术点

Lab1-4

ResourceHacker打开保存资源,载入IDA查看

原文地址:https://www.cnblogs.com/17bdw/p/10254660.html

时间: 2024-10-18 05:14:07

恶意代码分析实战-PE资源提取的相关文章

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

做完这几道恶意代码分析实战题,十一回来老板就给涨薪!

十一长假要来啦~ 好多同事都提着行李,下班就去几场火车站的,小编这代码还没敲好,担心有人来黑,实在不放心. 话说知己知彼才能百战不殆,放假前把这几个恶意代码的实验做了,谁也动不了我的网站! 不会查找恶意代码的程序员不是好攻城狮.. 尽管恶意代码以许多不同的形态出现,但分析恶意代码的技术是通用的.你选择使用哪项技术,将取决于你的目标.如何防范恶意代码的恶意程序进行恶意行为呢? <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实

2018/11/08-调试器-《恶意代码分析实战》

调试器是用来检测或测试其他程序运行的以来软件或硬件.由于刚完成的程序包含错误,因此调试器在软件开发过程中可以大显身手.调试器让你能够洞察程序在执行过程中做了什么.调试器的目的是允许开发者监控程序的内部状态和运行. 从调试器获得程序的信息可能比较困难,但并不意味着不可能,可以从反汇编器中获得所需信息.反汇编会在程序执行第一条指令前,立即提供程序的快照.当程序执行时,调试器的目的是允许开发者监控程序的内部状态和运行. 调试器监控程序执行的能力在恶意代码分析过程中扮演着十分重要的角色.调试器允许你查看

《恶意代码分析实战》学习笔记(1)

第一章 静态分析技术 常见的DLL程序 DLL 描述 Kernel32.dll 包含系统的核心功能,如访问和操作内存.文件和硬件 Advapi32.dll 提供了对核心Windows组件的访问,比如服务管理器和注册表 User32.dll 包含了所有用户界面组件,如按钮.滚动条以及控制和响应用户操作的组件 Gdi32.dll 包含了图形显示和操作的函数 Ntdll.dll Windows内核的接口.可执行文件通常不直接导入这个函数,而是由Kernel32.dll间接导入,如果一个可执行文件导入了

《恶意代码分析实战》之基础步骤

静态分析: 1,virus total反病毒引擎搜索2,MD5计算哈希值3,用PEid检测是否加壳,并进行脱壳操作4,stringe.exe查看恶意代码的字符串,从中可以看到是否含有特殊的网址,IP地址,特殊的导入函数,比如读写文件,赋值文件,自启动,记录键盘的函数...5,用Dependency Walker 查看导入函数,可以猜出这个恶意代码大致的功能.如果导入函数表过于简介,说明可能是加壳过后的文件6,用PEview 查看文件头和分节,可以查看到文件的时间戳,但是时间戳可以作假.7,用Re

2018/10/03-函数调用约定、cdecl、stdcall、fastcall- 《恶意代码分析实战》

cdecl是最常用的约定之一,参数是从右到左按序被压入栈,当函数完成时由调用者清理栈,并且将返回值保存在EAX中. stdcall约定是被调用函数负责清理栈,其他和cdecl非常类似. fastcall调用约定跨编译器时变化最多,但是它总体上在所有情况下的工作方式都是相似的.在fastcall中,前一些参数(典型的是前两个)被传到寄存器中,备用的寄存器是EDX和ECX(微软fastcall约定).如果需要的话,剩下的参数再以从右到左的次序被加载到栈上.通常使用fastcall比其他约定更高效,因

2018/10/03-字符串指令(重复指令、操作数据缓冲区指令)、rep与movx指令-《恶意代码分析实战》

重复指令是一组操作数据缓冲区的指令.数据缓冲区通常是一个字节数组的形式,也可以是单字或者双字.(Intel'称这些指令为字符串指令) 最常见的数据缓冲区操作指令是movsx.cmps.stosx和scasx,其中x可以是b.w后者d,分别表示字节.字和双字.这些指令对任何形式的数据都有效. 在这些操作中,使用ESI和EDI寄存器.ESI是源索引寄存器,EDI是目的索引寄存器.还有ECX用作计数的变量. 这些指令还需要一个前缀,用于对长度超过1的数据做操作.movsb指令本身只会移动一个字节,而不

恶意代码分析——动、静态分析基础技术

一.静态分析基础技术 1.可通过用软件计算恶意程序MD5值,然后检索该MD5值来获取信息并作为标签使用  [md5deep  winmd5] 2.通过检索恶意代码字符串获得相应的功能调用解释.功能行为及模块调用.当可检索字符串非常少时,有可能被加壳处理,(注意"LoadLibrary"和"GetProcAddress"两个字符串,它们是用来加载或调用其他函数功能的),此时需要用外壳检测工具进行检测.脱壳处理  [字符串检索:Strings  外壳检测:PEiD] 3

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析 原理与实践说明 实践目标 实践内容概述 基础问题回答 实践过程记录 1.使用schtasks指令监控系统 2.使用sysmon工具监控系统 恶意软件分析 3.使用VirusTotal分析恶意软件 4.使用PEiD分析恶意软件 5.使用PE Explorer分析恶意软件 6.使用Process Monitor分析恶意软件 7.使用Process Explorer分析恶意软件 8.使用systracer分析恶意软件 9.