20145326蔡馨熤《计算机病毒》——静态分析(2)

20145326蔡馨熤《计算机病毒》——静态分析(2)

基于样例代码lab01-02.exe.

  • 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了。我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件。
  • lab01-02.exe的扫描报告如下,点击"行为分析"看看。

  • 利用PEiD查壳。结果显示的是“什么都没有”,这个时候有两个办法解决。一是选择“深度扫描”,二是点击“SET INFO”查看。

  • 利用WSUNPACKER来脱壳,WSUNPACKER是一款通用的脱壳工具。但不是所有的恶意代码都能用工具直接脱壳,有些必须要手动脱壳,进行OD导入。很麻烦的~ 脱壳后的恶意代码后缀为“WSDump”。
  • 再用PEiD查看脱壳后的代码。

  • 关于样例代码的导入函数。利用Dependency Walker查看。一提到调用函数就要想到Dependency Walker这款工具,它的功能十分强大。

  • 我们可以发现样例代码脱壳后,导入函数也产生了变化。
  • 用来在被感染主机上进行该恶意代码的查找的线索。利用PEview查看。猜测可能会生成一个恶意代码的软件。静态分析就到这里,如果要深入研究,还得结合动态分析的技术才行!

时间: 2024-10-12 12:16:34

20145326蔡馨熤《计算机病毒》——静态分析(2)的相关文章

20145326蔡馨熤《计算机病毒》——代码的动静态分析结合

20145326蔡馨熤<计算机病毒>--代码的动静态分析结合 尝试使用各种动静态工具,对代码9-3.exe进行分析,回答如下问题: 该程序导入了哪些DLL? 先打开PEiD工具查看样例代码.这里发现了4个dll被调用. 另外还有一些dll文件呢,它是在程序运行的时候加载的.我们打开IDA Pro来载入程序进行分析.一般来说,在程序的运行中静态加载的话,会用到LoadLibrary这个函数.我们找找看. 在imports中找到后,双击,然后选中地址交叉引用.type对应的是p的话,说明是函数调用

20145326蔡馨熤《计算机病毒》——高级静态分析

20145326蔡馨熤<计算机病毒>--高级静态分析 尝试使用IDA PRO分析文件lab05-01.dll,回答如下问题: 1.PSLIST导出函数做了什么? 首先在view中选择exports窗口,然后找到PSLIST导出函数. 双击PSLIST,然后按空格键,转换为图形模式,这样的话,观察更直观. 双击第一个call语句.看看有什么发现.如图所示. dwplatformid与2进行比较,看现在是不是处于WIN32-NT的这个平台. majorversion与5进行比较, majorver

20145326蔡馨熤《计算机病毒》——静态分析(1)

20145326蔡馨熤<计算机病毒>--静态分析(1) 基于样例代码lab01-01.exe和lab01-01.dll. 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-01.exe的扫描报告如下,点击"行为分析"看看. lab01-01.dll的扫描报告如下.点击"行为分析"看看. lab01-01.exe和lab01-01.

20145326蔡馨熤《计算机病毒》——静态分析(3)

20145326蔡馨熤<计算机病毒>--静态分析(3) 基于样例代码lab01-03.exe与lab01-04.exe 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了.我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件. lab01-03.exe的扫描报告如下,点击"行为分析"看看. lab01-04.exe的扫描报告如下,点击"行为分析"看看. 利用PEiD进行查壳. lab01-03.ex

20145326蔡馨熤《计算机病毒》——动态分析(1)

20145326蔡馨熤<计算机病毒>--动态分析(1) 基于样例代码lab03-01.exe 找出这个恶意代码的导入函数和字符串列表. 说到导入函数,当然先想到静态分析里面的Dependency Walker工具. 不过,把恶意代码导入Dependency Walker工具的时候,感觉应该加了壳.所以用PEiD进行查壳. 再用脱壳工具进行脱壳,发现竟然脱壳失败. 再利用PEview查看,发现最开始都是乱码,看来的确加了壳.不过我们依旧可以看到有一些路径信息.还有一个网址.一个exe程序名(可能

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

20145326蔡馨熤<网络对抗>--恶意代码伪装技术实践 一.木马化正常软件 基于之前的后门程序,做一些修改.再将修改后的程序的名字改成一个正常软件的名字,蒙蔽用户的眼睛.哈哈哈,瞬间觉得自己好阴险.因为之前安装过Systracer这个工具,这次就把后门程序的名字改为"Systracer安装程序". 然后双击运行"Systracer安装程序.exe".并且成功回连到Kali. 但是有个不足之处,就是程序运行后,会弹出一个类似命令行的"黑框&q

20145326蔡馨熤《网络对抗》——MSF基础应用

20145326蔡馨熤<网络对抗>--MSF基础应用 实验后回答问题 用自己的话解释什么是exploit,payload,encode. exploit:起运输的作用,将数据传输到对方主机. payload:其实就是指装载的"具体内容".就相当于shellcode一样. encode:对需要传输的文件进行编码,使其达到免杀效果. 实验总结与体会 通过这次MSF基础应用的实验.我对MSF里面包括的6个模块都有了一定的认识,先是exploit模块,也就是我们说的渗透模块,包括主

20145326蔡馨熤《信息安全系统设计基础》第1周学习总结

20145326蔡馨熤<信息安全系统设计基础>第1周学习总结 教材学习内容总结: 一.Linux基础1.环境登录无需密码自动登录,系统用户名shiyanlou2.环境介绍本实验环境采用带桌面的Ubuntu Linux环境,实验中会用到桌面上的程序:LX终端(LXTerminal): Linux命令行终端,打开后会进入Bash环境,可以使用Linux命令GVim:非常好用的编辑器,最简单的用法可以参考课程Vim编辑器3.环境使用使用GVim编辑器输入实验所需的代码及文件,使用LX终端(LXTer

20145326蔡馨熤《信息安全系统设计基础》第14周学习总结

20145326蔡馨熤<信息安全系统设计基础>第14周学习总结 教材内容总结(过多内容不赘述) 1.虚拟存储器的三个重要能力: 它将主存看成是一个存储在磁盘上的地址空间的高速缓存,在主存中只保存活动区域,并根据需要在磁盘和主存之间来回传送数据,通过这种方式,高效的使用了主存. 它为每个进程提供了一致的地址空间,从而简化了存储器管理. 它保护了每个进程的地址空间不被其他进程破坏. 2.虚拟存储器是对主存的一个抽象. 3.支持虚拟存储器的处理器通过使用一种叫做虚拟寻址的间接形式来引用主存,处理器产