首页
社区
课程
招聘
[原创]恶意代码分析实战Chapter1
发表于: 2018-12-24 23:22 8438

[原创]恶意代码分析实战Chapter1

2018-12-24 23:22
8438

Lab01.exe


这里先分析Lab01-01_exe


这里由于内存访问违规,崩溃了,我也懒得修改拷贝数据大小,就这样分析吧



接下来就劫持C盘中的exe的导入kernel32.dll 为 kerne132.dll(数字1)




修改所有exe中导入表的kernel32.dll的名称为kerne132.dll(数字1),这样下次任意程序执行的时候都会加载恶意的dll


接下里分析Lab01-01.dll, dll就是一个命令执行的


继续分析lab01-02.exe, 使用了upx3.04加壳


使用upx工具或者转到OEP之后dump就行了


分析dump的程序

在main函数中,注册一个MalService的服务,sub_401040为服务函数


向系统注册服务,并且创建线程,调用网络函数,访问恶意链接






删除服务

Cmd:sc delete Malservice

Powershell: $mal = Get-WmiObject -Class WIN32_Service -Filter “Name=’Malservice’”


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (7)
雪    币: 227
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
优秀,双击666
2018-12-25 18:53
1
雪    币: 2359
活跃值: (343)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可以啊,高手
2018-12-27 13:41
1
雪    币: 0
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
师傅能发一个《恶意代码分析实战》的附件么
2021-2-2 15:32
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
5
kxhy 师傅能发一个《恶意代码分析实战》的附件么
https://github.com/Hadreysl/-/tree/master/Practical%20Malware%20Analysis%20Labs/BinaryCollection
2021-2-3 15:24
0
雪    币: 4372
活跃值: (1718)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
2021-4-4 12:30
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
请问这本书籍里面实验前面的部分中提到的文件可以从何处下载?
2021-9-14 21:48
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
8
wx_杰小白 请问这本书籍里面实验前面的部分中提到的文件可以从何处下载?
上面那个github链接
2021-9-16 18:14
0
游客
登录 | 注册 方可回帖
返回
//