恶意代码分析1

作者: bluewind1230 | 来源:发表于2018-01-11 13:36 被阅读0次

vmware 恶意代码分析虚拟机网络环境配置 Apate、Ine
第0章恶意代码分析入门
恶意代码分析1
恶意代码分析实战第十八章加壳与脱壳
恶意代码分析实战第十八章加壳与脱壳
CodeReview常见错误集合(FindBugs)
恶意代码常规分析流程
恶意代码库
恶意代码分析实战-学习记录1
IDA Pro7.5使用 IDAGolangHelper问题

www.VirusTotal.com

查看一个文件是何时编译的：

PE文件结构中:NT头----->Image_File_HeaDer---->TimeDataStamp(可以利用010Editor来查看)

如何判断加壳或者混淆了--->用PEID

image.png

说明是没壳的

如何查看导入文件是干什么的？？
用PEID:

image.png

使用Socket套接字,就一定会使用到下面这个dll:ws2_32.dll

image.png

继续查看kernel32.dll:(可疑函数:sleep,createProcessA;)

image.png

查看导出表：(居然没有！！！可以怀疑它是一个恶意的程序)

image.png

下面看一看exe的导入表：(发现有CopyFileA这个函数说明恶意程序将自身或者其他文件拷贝到系统敏感目录

image.png

监测此exe在本机上以及在网络上做了什么？？
先strings + exe文件

image.png

打开dll:

image.png

可能开了一个后门！！！

vmware 恶意代码分析虚拟机网络环境配置 Apate、Ine
前言学习恶意代码分析的第一步就是配置网络环境，网络环境配置好以后才能放心的运行恶意代码进行分析。分析恶意代码首...
第0章恶意代码分析入门
0.1 恶意代码分析目标恶意代码分析的目标一般是为一起网络入侵事件的相应提供所需信息。恶意代码分析可以用来编...
恶意代码分析1
www.VirusTotal.com 查看一个文件是何时编译的： PE文件结构中:NT头----->Image_F...
恶意代码分析实战第十八章加壳与脱壳
打包程序，也称为加壳器，他们能够对反病毒软件，复杂的恶意代码分析过程隐藏恶意代码的存在，另外能缩小恶意代码可执行文...
恶意代码分析实战第十八章加壳与脱壳
打包程序，也称为加壳器，他们能够对反病毒软件，复杂的恶意代码分析过程隐藏恶意代码的存在，另外能缩小恶意代码可执行文...
CodeReview常见错误集合(FindBugs)
FindBugs插件代码分析结果中的分类： Malicious Code Vulnerability 恶意代码漏洞...
恶意代码常规分析流程
本文介绍恶意代码常规分析流程。（待更）菜鸟一枚，可能写的不好或存在错误，欢迎指正。首先，恶意代码的生命周期分为三...
恶意代码库
一、分析恶意代码存储的文章 https://www.usenix.org/system/files/raid20-...
恶意代码分析实战-学习记录1
步骤如下 1.分析样本来源于恶意代码分析实战课后题目的样本,lab3-01.exe,链接就不贴了，百度一搜就可以搜...
IDA Pro7.5使用 IDAGolangHelper问题
前言 Golang语言编写的恶意代码越来越多，在分析去除符号的Golang恶意软件时，分析插件IDAGolangH...