首页 > 其他分享 >3.2动态分析基础实验(2)--《恶意代码分析实战》

3.2动态分析基础实验(2)--《恶意代码分析实战》

时间:2022-12-02 22:23:47浏览次数:52  
标签:exe -- 恶意代码 svchost Process Lab03 3.2 字符串

实验三

Lab03-03.exe

1.当使用 Process Explorer 工具进行监视的时候,注意到了什么?
2.可以找出内存修改的行为吗?
3.这个恶意代码在主机上的感染迹象特征是什么?
4.这个恶意代码的目的是什么?

 

1.运行程序,发现创建了子进程 svchost.exe,主进程 Lab03-03.exe 结束。


2.分析 svchost.exe 映像和内存中字符串的不同

Process Explorer 右键 Properties 属性,对比 String 项中 Image 和 Memeory 两种情况。

parcticalmalwareanalysis.log字符串的存在,加上[ENTER]和[CAPS LOCK]这样的字符串,表明程序可能是一个键盘记录器。


3.通过 Process Monitor 查看进程行为

我们打开一个文本,随便输入信息,在查看 Process Monitor 所记录的 svchost.exe 行为。

发现会写入 parcticalmalwareanalysis.log 文件,打开后发现是记录键盘信息。

恶意代码在 svchost.exe 进程上进行了进程替换,来启动一个击键记录器。

 


实验四

Lab03-04.exe

1.运行文件时,发生了什么?
2.什么原因造成了动态分析无效?
3.是否有其他方式来运行这个程序?

1.双击文件后,程序被删除。


2.可能是缺少命令行参数,或者程序缺失部件

分析字符串,发现除了域名、注册表名称外,DOWNLOAD和UPLOAD这样的命令字符串,以及HTTP/1.0等,说明可能是一个HTTP恶意程序。
-cc,-re,-in可能是命令行参数。

 

3.尝试用命令行执行恶意程序。

尝试使用 Lab03-04.exe -in 或 -cc 或 -c 或 -re等执行,均以失败告终,程序还是会删除自身(使用上面字符串的 del 删除的),Process Monitor 中发现 Process Create 操作,命令行就是删除文件的。

第9章的实验会揭示如何执行,刨析这个恶意程序。

 

标签:exe,--,恶意代码,svchost,Process,Lab03,3.2,字符串
From: https://www.cnblogs.com/renleiguanchashi/p/16945812.html

相关文章

  • NUXT 2.0 使用 swiper
    NUXT2.0使用swiper版本(swiper高版本有改变)"dependencies":{"nuxt":"^2.0.0","swiper":"^4.5.1","vue-awesome-swiper":"^4.1.1"},插件使......
  • Python实验报告(第13章)
    实验13:Pygame游戏编程一、实验目的和要求学会Pygame的基本应用二、实验环境软件版本:Python3.1064_bit三、实验过程1、实例1:制作一个跳跃的小游戏(1)代码如下:1......
  • jenkins javax.mail.AuthenticationFailedException: 535 authentication failed
     邮箱服务器端口是587解决方案:启动脚本增加-Dmail.smtp.starttls.enable=true-Dmail.smtp.ssl.trust=esmtp.*.com  ......
  • 2-注释
    1-为什么要注释我们在写代码的时候,代码量会不断增加,写下注释方便我们日后再看代码的时候,方便我们理解,也方便别人在看我们代码的时候,解读我们的代码注:解......
  • vue实现按钮多选
    需求是这样: 首先考虑使用elementui中的组建实现,但是有时候会忽略组建。实现方式两种:1.直接使用element实现letweekTimeData:['星期一','星期二','星......
  • Jenkins API 返回403错误
    Jenkins 版本:2.346.1接口调用报403,研究了一下发现了是jenkins的CSRF机制导致的,但是由于公司所用的jenkins版本较高,默认不支持关闭CSRF,所以需要在jenkins控制台中手动关......
  • Python数据分析(一)--Matplotlib学习
    Matplotlib库学习2.1Matplotlib库小测2.2Pyplot的绘图区域plt.subplot(nrows,ncols,plot_number)图表的整个绘图区域被分成numRows行和numCols列然后按......
  • 制作一个跳跃的小球游戏
    代码如下:importsysimportpygamepygame.init()size=width,height=640,480screen=pygame.display.set_mode(size)color=(0,0,0)ball=pygame.image.l......
  • 2.1 实验:反病毒引擎扫描、编译时间、查壳、导入表查看、字符串查看--《恶意代码分析
    实验内容:1、将文件上传到http://www.VirusTotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?(国内用https://www.virscan.org/替代)2、这些文件是什么时候......
  • [ABC249F] Ignore Operations 题解
    [ABC249F]IgnoreOperationsSolution目录[ABC249F]IgnoreOperationsSolution更好的阅读体验戳此进入题面SolutionCodeUPD更好的阅读体验戳此进入题面存在变量$x......