”恶意代码分析实战课后实验“ 的搜索结果
问题1: 使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe: 可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到: ...使用ida打开文件Lab14-01.exe,看到函数...
首先使用ida载入实验文件: 看到了一系列的Inc ecx指令,先忽略继续向下看: 在偏移量为200的地方看到了异或操作,可以看到这段代码就是一个循环操作。首先将栈顶值赋值给esi。通过分析可以知道esi中保存的...
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
第7章 分析恶意Windows程序(实验)Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?1.2 为什么这个程序会使用一个互斥量?1.3 可以用来检测这...
恶意代码分析实战课后练习题
恶意代码分析实战 课后练习配套完整文件。
Lab 3-1 1、首先静态分析,使用PEid分析,加壳...出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...
这是由Michael Sikorski与Andrew Honig编写的《恶意代码分析实战》课后的配套练习题。本书具有极强的实战性,可以说是每一位恶意代码分析师人手必备的经典。特别是每一章后面的配套练习,都是作者以自己的实战经验,...
恶意代码分析实战课后习题分析
恶意代码分析实战 Lab1-1 问题1 将文件Lab01-01.exe直接上传至http://www.VirusTotal.com 结果如下: 发现有四十七个报毒 将文件Lab01-01.dll文件上传至http://www.VirusTotla.com 结果如下: 发现四十个报错 综...
而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,...
第1章 静态分析基础技术(实验)Lab 1-11.1 将文件上传至http://www.ViresTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?1.2 这些文件是什么时候编译的?1.3 这两个文件中是否存在迹象说明...
第3章 动态分析基础技术(实验)Lab 3-11.1 找出这个恶意代码的导入函数与字符串列表?1.2 这个恶意代码在主机上的感染迹象特征是什么?1.3 这个恶意代码是否存在一些有用的网络特征码?如果存在,它们是什么?Lab 3...
第6章 识别汇编中的C代码结构(实验)Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么?1.2 位于0x40105F的子过程是什么?1.3 这个...
在这里看到了GinaDLL和Winlogon,这就有理由猜这是一个拦截GINA的恶意代码,这个在书中也提到了,GINA拦截就是在Windows XP系统中,恶意程序可以使用微软图形识别和验证界面(GINA)拦截技术来窃取用户的登陆凭证。...
问题1: 导入函数与字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了...通过对...
Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本...
首先使用ida载入实验文件Lab15-01.exe 在main函数的位置可以看到一个跳转语句,结果为0 就跳转,上面一条语句是eax自身的异或操作,也就是无论eax里的值是什么,结果都是0,所以呢这条跳转指令就一定会执行。也就...
2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用...
**实验工具**: PEiD——>查壳&观察对应文件的一些文件结构(主要是PE的结构) Strings——>查看可打印字符,总结病毒的一些特征行为 PETools——>查看文件结构 virscan网站——>查看病毒信息 *...
恶意代码分析实战 课后练习配套完整文件 。。。。。。。 相关下载链接://download.csdn.net/download/weixin_42281802/10653005?utm_source=bbsseo
恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序...
看一下字符串: 然后分析主函数: 这个main函数很简短,看到了...发现这里调用了一个OpenMutexA函数,这个函数会尝试获取"HGL345"这个互斥量,获取到就说明已经有一个恶意程序在运行了,则调用ExitProcess...
本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3....
先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还...
首先动静态结合分析程序跑起来会发现调用了3个DLL,用IDA先来看看main简单猜想DLL1Print()是调用了DLL1,DLL2Print()是调用了DLL2这里的extrn:说明这个函数是由外部实现的,这里是直接的外部调用(extern)调用DLL3...
使用ida载入实验文件Lab20-01.exe 参数就是ecx的this指针。 问题2: 在上图可以看到在函数sub_401040中调用了函数URLDownloadToFileA,回到main函数就可以看到这个URL: 问题3: 这个程序就是在URL里下载...
在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是...
恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 ...
对Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是...