”恶意代码分析实战(课后实验)“ 的搜索结果

     Lab 3-1 1、首先静态分析,使用PEid分析,加壳...出现了连接的恶意网址,以及注册表的位置,尤其是..\Run,是恶意软件常用的自启动的,以及恶意软件vmx32to64.exe可能是适配32位的操作环境。 2、简单的动态分析 打...

     恶意代码分析实战 Lab1-1 问题1 将文件Lab01-01.exe直接上传至http://www.VirusTotal.com 结果如下: 发现有四十七个报毒 将文件Lab01-01.dll文件上传至http://www.VirusTotla.com 结果如下: 发现四十个报错 综...

     而《恶意代码分析实战》这本书刚好是本门课对应的教材,因此开始一点点看这本书,然后再做一做后面对应的课程实践,由于基础较差(实际是没有基础)因此需要找很多资料才能找到每个实验具体应该使用什么工具来做,...

     Lab1-1恶意代码分析实战恶意代码样本下载Lab1-1二、使用步骤1.引入库2.读入数据总结 恶意代码分析实战 Michael Sikorski Andrew Honig 著 诸葛建伟 姜辉 张光凯 译 恶意代码样本下载 前言-先决条件-恶意代码样本...

     在这里看到了GinaDLL和Winlogon,这就有理由猜这是一个拦截GINA的恶意代码,这个在书中也提到了,GINA拦截就是在Windows XP系统中,恶意程序可以使用微软图形识别和验证界面(GINA)拦截技术来窃取用户的登陆凭证。...

     2、利用IDA Pro静态分析恶意程序 实验过程 1、DLLMain的地址是什么? 打开IDAPro将Lab05-01.dll文件拖进来 进来我们就可以发现DLLMain的位置。我们可以鼠标放置在此函数上,点击空格键获得内存地址信息: 2、使用...

     问题1: 导入函数与字符串列表如下: 问题2: 创建了一个WinVMX32的互斥量。 通过上图显示的内容可以知道,程序有一些联网的操作。 通过Procmon监测 第三条监控结果则说明了...通过对...

     首先使用ida载入实验文件Lab15-01.exe 在main函数的位置可以看到一个跳转语句,结果为0 就跳转,上面一条语句是eax自身的异或操作,也就是无论eax里的值是什么,结果都是0,所以呢这条跳转指令就一定会执行。也就...

     恶意代码分析实战学习笔记(一) 静态技术分析基础 1.使用md5deep 来识别恶意代码的哈希值 2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。 3.使用peid程序来检查程序...

     本次实验我们将会分析lab09-03.exe文件。先来看看要求解答的问题 Q1.lab09-03.exe导入了哪些dll Q2.dll1.dll,dll2.dll,dll3.dll要求的基地址是多少 Q3.当使用Ollydbg调试Lab09-03.exe时,为dll1.dll,dll2.dll,dll3....

     **实验工具**: PEiD——>查壳&观察对应文件的一些文件结构(主要是PE的结构) Strings——>查看可打印字符,总结病毒的一些特征行为 PETools——>查看文件结构 virscan网站——>查看病毒信息 *...

     先来进行静态分析,首先使用strings查看一下字符串: 这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还...

     看一下字符串: 然后分析主函数: 这个main函数很简短,看到了...发现这里调用了一个OpenMutexA函数,这个函数会尝试获取"HGL345"这个互斥量,获取到就说明已经有一个恶意程序在运行了,则调用ExitProcess...

     恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 ...

     对Lab01-01.exe 和Lab01-01.dll进行分析 问题 将文件上传至http://www. VirusTotal. com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 首先传文件到virscan或virustotal,这个自行处理 这些文件是...

     使用ida载入实验文件Lab20-01.exe 参数就是ecx的this指针。 问题2: 在上图可以看到在函数sub_401040中调用了函数URLDownloadToFileA,回到main函数就可以看到这个URL: 问题3: 这个程序就是在URL里下载...

     在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。 问题2 : 使用Process Explorer监控,运行程序后并没有发现什么。 问题3: 把Lab09-02.exe载入到ida和OD。 在ida中发现main的地址是...

4   
3  
2  
1  

推荐文章