精华内容
下载资源
问答
  • 恶意代码分析实战

    2019-03-07 09:39:14
    恶意代码分析实战
  • 学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
  • 实验文件 请用虚拟机解压 (参考书:恶意代码分析实战 迈克尔·斯科尔斯基)
  • 恶意代码分析实战的课后资料,如果有兴趣的同学可以下载,然后通过7z解压,
  • 恶意代码分析实战,详细介绍了网络安全基本技术。包括:静态分析、动态分析、反汇编、IDA分析等
  • 这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
  • 恶意代码分析实战 课后练习配套完整文件。
  • 恶意代码分析实战Lab1

    千次阅读 2021-01-25 16:26:22
    Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本...


    恶意代码分析实战

    Michael Sikorski Andrew Honig 著
    诸葛建伟 姜辉 张光凯 译

    恶意代码样本下载

    前言-先决条件-恶意代码样本下载链接:
    https://practicalmalwareanalysis.com/
    1.点击Labs
    在这里插入图片描述
    2.点击Download
    NOTE: We provide a self-extracting archive and an encrypted 7-zip file containing the labs.The password “malware”.
    注:我们提供自提取存档和包含实验室的加密 7 zip 文件,密码"恶意软件"
    在这里插入图片描述
    3.点击Download ZIP
    在这里插入图片描述

    1.1反病毒引擎扫描

    VirusTotal网站:
    https://www.virustotal.com/

    1.2哈希值

    MD5在线加密:
    https://www.sojson.com/hash.html
    在这里插入图片描述

    1.3查找字符串

    Strings程序:
    http://technet.microsoft.com/enus/sysinternals/bb897439

    https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

    1.4加壳与混淆恶意代码

    UPX工具:
    http://upx.sourceforge.net/
    UPX是一款免费、可移植、可扩展、高性能的可执行文件,用于多种可执行格式

    1.5PE文件格式

    1.6链接库与函数

    Dependency Walker工具:
    http://www.dependencywalker.com/

    msvcrt.dll百度百科
    https://baike.baidu.com/item/msvcrt.dll/10968059
    msvcrt.dll是微软在windows操作系统中提供的C语言运行库执行文件(Microsoft Visual C Runtime Library),其中提供了printf,malloc,strcpy等C语言库函数的具体运行实现,并且为使用C/C++(Vc)编译的程序提供了初始化(如获取命令行参数)以及退出等功能

    1.7静态分析技术实战

    1.8PE文件头与分节

    1.使用PEview来分析PE文件
    2.使用ResourceHacker工具来查看资源节
    http://www.angusj.com/
    3.使用其他的PE文件工具
    PEBrowse Professional:
    http://www.smidgeonsoft.prohosting.com/pebrowsepro-file-viewer.html
    PE Explorer(收费):
    http://www.heaventools.com/

    Lab1-1

    实验题目:这个实验使用Lab01-01.exe和Lab01-01.dll文件
    在这里插入图片描述
    问题:
    1.将文件上传至https://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征码?
    2.这些文件是什么时候编译的?
    这两个文件的编译日期都在2010年12月19日。
    Lab01-01.dll 2010-12-19 16:16:38
    在这里插入图片描述
    Lab01-01.exe 2010-12-19 16:16:19
    在这里插入图片描述

    3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
    检测加壳软件的一种方法是使用PEiD工具。
    PEiD正常检测出.dll和.exe的编译环境,且EP段是正常的.text。
    所以这两个文件都没有被加壳或混淆过的迹象。
    在这里插入图片描述
    在这里插入图片描述

    4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
    Lab01-01.dll导入函数是CreateProcess和Sleep;这个文件导入了WS2_32.dll中的函数,这些函数提供了联网功能。
    P14:Wsock32.dll和Ws2_32.dll这两个是联网DLL,访问其中任何一个DLL的程序非常可能连接网络,或是执行网络相关的任务。

    在这里插入图片描述
    在这里插入图片描述
    Lab01-01.exe导入函数是FindFirstFile、FindNextFile和CopyFile,这些导入函数告诉我们,这个程序在搜索文件系统和复制文件。
    P17:FindFirstFile和FindNextFile函数是特别值得关注的,因为它们提供的功能是搜索一个目录下所有的文件。

    在这里插入图片描述

    5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
    在这里插入图片描述

    检查C:\Windows\System32\kerne132.dll来发现额外的恶意活动。请注意,文件kerne132.DLL,用数字1代替了字母l,是为了看起来像是系统文件kernel32.dll。这个文件可以用来在主机作为恶意代码感染的迹象进行搜索。
    P436详细分析过程:C:\Windows\System32\kernel32.dll和C:\Windows\System32\kerne132.dll(字母l和数字1的变化),kerne132.dll文件显然是想将自己冒充混淆为Windows的系统文件kernel32.dll。因此kerne132.dll可以作为一个基于主机的迹象来发现恶意代码感染,并且是我们分析恶意代码所需要关注的一个线索。

    6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
    在这里插入图片描述

    7.你猜这些文件的目的是什么?
    .dll文件可能是一个后门
    .exe文件是用来安装与运行DLL文件的
    P3:后门:恶意代码将自身安装到一台计算机来允许攻击者访问。后门程序通常让攻击者只需很少认证甚至无需认证,便可连接到远程计算机上,并可以在本地系统执行命令。

    Lab1-2

    分析Lab01-02.exe文件
    问题:
    1.将Lab01-02.exe文件上传至https://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征码?
    Lab01-02.exe匹配到已有的反病毒软件特征,截图如下:
    在这里插入图片描述
    在这里插入图片描述
    2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话?
    Lab01-02.exe被加壳了
    在这里插入图片描述
    用kali脱壳
    用ubuntu脱壳也行 upx -d file

    在Kali执行upx命令可以查看参数介绍:
    在这里插入图片描述
    执行upx -d命令脱壳成功
    在这里插入图片描述
    在这里插入图片描述
    3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
    在对文件进行脱壳之后,将Lab01-02.exe文件上传至https://www.virustotal.com/,会发现导入函数CreateService、InternetOpen、InternetOpenUrl
    在这里插入图片描述
    用IDApro打开Lab01-02.exe,查看输入表
    在这里插入图片描述
    4.哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?
    用IDApro打开Lab01-02.exe,shift+Fn+F12查看字符串(我的电脑是shift+Fn+F12,有的电脑是shift+F12)
    一个名为Malservice的服务,并通过到http://www.malwareanalysisbook.com的网络流量,来检查被恶意代码感染的主机。
    在这里插入图片描述

    Lab1-3

    分析Lab01-03.exe文件
    问题:
    1.将Lab01-03.exe文件上传至https://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征码?
    Lab01-03.exe匹配到已有的反病毒软件特征,截图如下:
    在这里插入图片描述
    在这里插入图片描述
    2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话?
    Lab01-03.exe被加壳了
    在这里插入图片描述
    Lab01-03.exe是由FSG进行加壳的,而不是UPX,学到18章后再回来分析Lab01-03.exe。
    3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
    这个问题在没有脱壳的情况下还无法回答。
    4.哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?
    这个问题在没有脱壳的情况下还无法回答。

    Lab1-4

    分析Lab01-04.exe文件
    问题:
    1.将Lab01-04.exe文件上传至https://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征码?
    Lab01-03.exe匹配到已有的反病毒软件特征,截图如下:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话?
    Lab01-04.exe没有被加壳或混淆过的迹象
    在这里插入图片描述
    3.这个文件是什么时候被编译的?
    在这里插入图片描述

    4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
    advapi32.dll权限操作相关函数
    在这里插入图片描述
    导入函数WriteFile和WinExec,以及https://www.virustotal.com/的结果,表示这个程序会写一个文件到磁盘上,然后执行它。导入函数还有一些是用于从文件的资源节中读取信息的。
    在这里插入图片描述
    在这里插入图片描述

    5.哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?
    用IDApro打开Lab01-04.exe,字符串\system32\wupdmgr.exe表示,这个程序会在这个位置创建或者修改文件。字符串www.malwareanalisisbook.com/updater.exe可能表示额外恶意代码的网络存储位置,用于下载。
    在这里插入图片描述
    6.这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源,从资源中你能发现什么吗?
    我用HxD打开Lab01-04.exe
    在这里插入图片描述
    在这里插入图片描述
    认真是一种态度更是一种责任

    展开全文
  • 恶意代码分析实战课后配套练习
  • 这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
  • ** 恶意代码分析实战源码 ** 百度网盘链接:链接:https://pan.baidu.com/s/1jzThUG2Z1ddBwsEHfj5Ukg 提取码:umxz 记得点赞!!!!!

    **
    恶意代码分析实战源码

    **在这里插入图片描述
    百度网盘链接:链接:

    https://pan.baidu.com/s/1PGpI5dE4QWCkSVdqrgMhfQ

    提取码:6hl8

    都是花钱买的,渴求一个赞,不过分吧!!!

    展开全文
  • 恶意代码分析实战Lab3

    2021-04-09 14:49:13
    第三章动态分析基础技术恶意代码分析实战Lab3-1Lab3-21.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 1.操作场景:VMware workstation 15.5 + Windows7 ...


    恶意代码分析实战

    参考书目
    Michael Sikorski Andrew Honig 著
    诸葛建伟 姜辉 张光凯 译
    实验是自己做的,图片是自己截的。

    操作环境实验工具

    吾爱破解:https://www.52pojie.cn/forum.php
    破解专用虚拟机:https://www.52pojie.cn/thread-661779-1-1.html
    在这里插入图片描述

    (如果Win7系统不稳定可以使用吾爱破解专用虚拟机)
    1.操作场景:VMware workstation 15.5 + Windows7
    VMware安装Windows7:https://blog.csdn.net/weixin_43465312/article/details/92662519
    2.实验工具:
    ProcessExplorer:https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
    ProcessMonitor:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
    Strings:https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
    PEiD:https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
    Regshot:https://sourceforge.net/projects/regshot/
    Wireshark:https://www.wireshark.org/
    在这里插入图片描述

    实验

    Lab3-1

    使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。
    问题
    1.
    首先用PEiD打开Lab03-01.exe,可以看到Lab03-01.exe是加壳的
    在这里插入图片描述
    其次看一下导入函数,唯一的导入函数是ExitProcess
    在这里插入图片描述

    最后通过Strings看一下有哪些字符串
    在这里插入图片描述
    2.
    打开ProcessExplorer和ProcessMonitor
    在这里插入图片描述
    该恶意代码创建了一个名为WinVMX32的互斥量在这里插入图片描述
    并复制自身到C:\Windows\System32\vmx32to64.exe并安装自己到系统自启动项中
    在这里插入图片描述
    通过创建注册表键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VideoDriver并将其设置为复制副本的位置
    在这里插入图片描述

    3.这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?
    恶意代码在进行www.practicalmalwareanalysis.com的域名解析
    在这里插入图片描述

    Lab3-2

    使用动态分析基础技术来分析在Lab03-02.dll文件中发现的恶意代码。
    问题
    用PEiD打开Lab03-02.dll
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    用Strings打开Lab03-02.dll
    在这里插入图片描述
    在这里插入图片描述
    1.
    暂时没有找到解决办法…
    在这里插入图片描述
    2.
    3.
    4.
    5.
    6.

    Lab3-3

    在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。
    问题
    1.
    恶意代码执行了对svchost.exe文件的替换
    在这里插入图片描述
    2.
    内存映像拥有如practicalmalwareanalysis.log和[ENTER]这样的字符串在这里插入图片描述
    3.
    恶意代码上创建了一个practicalmalwareanalysis.log日志文件
    在这里插入图片描述
    4.
    窃取键盘输入

    Lab3-4

    使用基础的动态行为分析工具来分析在Lab03-04.exe文件中发现的恶意代码。
    问题
    1.
    双击运行恶意代码时程序会立即将自身删除
    在这里插入图片描述
    在这里插入图片描述
    2.
    3.
    (在第九章的实验作业中进一步分析这个恶意代码)
    认真是一种态度更是一种责任

    展开全文
  • 恶意代码分析实战13章的IDApro插件用于识别加密算法。。
  • 恶意代码分析实战》-实验实例文件,解压密码:malware
  • 恶意代码分析实战13章-IDApro插件findcrypt.plw..

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,172
精华内容 2,468
关键字:

恶意代码分析实战