恶意代码分析实战Lab 5-1

最新推荐文章于 2023-03-04 10:23:31 发布
最新推荐文章于 2023-03-04 10:23:31 发布
阅读量910 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116423682

问题

1.DllMain的地址是什么?

使用IDA打开后,鼠标所在位置

.text:1000D02E

在这里插入图片描述

2.使用Imports窗口并浏览到gethostbyname, 导入函数定位到什么地址?

在这里插入图片描述

.idata:100163CC

3.有多少函数调用了gethostbyname?

Jump to xref operand
在这里插入图片描述
函数交叉引用,p是引用,r是读取,必须先读取,再引用。引用了9次,被5个函数调用。

4.将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出那个DNS请求将被触发吗?

使用G键定位0x10001757
在这里插入图片描述
call函数默认将栈顶的值作为函数的参数传递给函数,这里是eax push进去的,eax对应的off_10019040:

在这里插入图片描述

[This is RDO]pics.praticalmalwareanalys

然后点击黄色部分aThisRdoPics,可以看到完整的字符串

[This is RDO]pics.praticalmalwareanalysis.com在这里插入图片描述
刚才gethostbyname那段代码

off_1001904值给了eax之后(off_10019040是字符串指针),0Dh转换成十进制是13,因此最后的结果是指针指向p,所以最后push进栈的值是pics.praticalmalwareanalysis.com

5.IDA Pro识别了在0x10001656处的子过程中的多少个局部变量?

使用G键跳转地址0x10001656,
在这里插入图片描述
分析sub_10001656函数,一共有23个局部变量,大部分以var_为前缀。

6.IDA Pro识别了在0x10001656处的子过程中的多少个参数?

一个参数
在子过程中有arg_0这个参数 lpThreadParameter??

7.使用Strings窗口,来在反汇编中定位字符串\cmd.exe /c。 它位于哪?

一直以为我装的这个IDA没有strings(确实是我没找到),结果需要shift+F12,没有F12
Mac—开启键盘F1 - F12功能键以及F1 - F12功能键的作用
结果还是不知道怎么弄,
找到了,F16都找到了,还是没成功shift+F12

最低0.47元/天 解锁文章

200万优质内容无限畅学
恶意代码分析 Lab5
baidu_41108490的博客
05-15 1821
这一节完全是IDA的使用介绍1直接用IDAPro打开.dll文件,就直接来到Dllmain处,可以知道地址为0x1000D02E2 3要知道gethostbyname在WS2_32.dll就比较容易找到,而且注意是区分大小写的.这是小写,找到后双击到达输出表处,然后右键gethostbyname函数名选择Xrefs graph to查看有多少函数调用它结果如图:五条线说明有五个函数调用他4在上题的...
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 335
恶意代码实战详细分析
恶意代码分析实战-lab5-1
qq_41810304的博客
07-18 1458
恶意代码分析实战》这本书简要的讲了一下IDA咋用,虽然以前做CTF也用过,但是只是一些简单的题,所以只会Ctrl+F,搜索“main”,然后F5,看伪代码。经过一段时间的简单学习,好像会一点点了,但是真的只会一点点。即便如此,我还是记录一下这次的学习吧。 在这学习之前,我还是要瞎扯几句。作为初学者,我按照书上的注意事项,选择了binary方式反编译,然而,啥也没有,连导出和导入函数都没有。果然初学者还没有理解透的情况下还是默认反编译吧。文中多多少少会有一些错误的地方,请各...
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战5-1
qq_51459600的博客
09-16 858
恶意代码分析实战Lab5-1 文章目录恶意代码分析实战Lab5-11.DllMain的地址是什么?2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址?3.有多少函数调用了gethostbyname?4.将精力集中在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗?5.IDAPro 识别了在0x10001656处的子过程中的多少个局部变量?6.IDAPro识别了在0x10001656处的子过程中的多少个参数?7.使用String
Lab 5-1
bangren3304的博客
01-10 538
Analyze the malware found in the file Lab05-01.dll using only IDA Pro. The goal of this lab is to give you hands-on experience with IDA Pro. If you’ve already worked with IDA Pro, you may choose ...
恶意代码分析实战实验Lab 6-3
m0_37442062的博客
05-06 490
Lab 6-3静态分析动态分析1.比较在main函数于实验6-2的mian函数的调用。从main中调用的新的函数是什么?2.这个新的函数使用的参数是什么?3.这个函数包含的主要代码结构是什么?4.这个函数能够做什么?5.在这个恶意代码中有什么本地特征?6.这个恶意代码的目的是什么?参考 静态分析 IDA pro查看字符串 除在Lab 6-2中发现的一些字符串外,还有注册表键、文件路径。 Software\\Microsoft\\Windows\\CurrentVersion\\Run常用于恶意代码自启动
恶意代码分析实战实验Lab 7-1
m0_37442062的博客
05-06 795
Lab 7-1静态分析IDA Pro1.当计算机重启之后,这个程序如何保证它继续运行(达到持久化驻留)?2.为什么这个程序会使用一个互斥量?3.可以用来检测这个程序的基于主机特征是什么?4.检测这个恶意代码的基于网络特征是什么?5.这个程序的目的是什么?6.这个程序什么时候完成执行?参考 静态分析IDA Pro 字符串: 可以看到有一个 MalService,可以推测该程序创建了一个系统服务。 HGL345暂定。网址信息http://www.malwareanalysisbook.com用户代理信息Int
恶意代码分析实战Lab1-2
王陈锋的博客
04-10 725
Lab1-2 分析Lab1.2.exe文件 2. 是否有这个文件被加壳或混淆的任何迹象? 利用PEID进行查看 普通扫描如下: 普通扫描没有发现加壳 核心扫描如下: 核心扫描发现upx加壳 发现加壳后,要进行脱壳操作,可以利用ollydbg进行手动脱壳,具体操作在另篇博文,博文稍后会发。 或者进行upx自动脱壳 dos命令 图形窗口 ...
恶意代码分析-第五章-IDApro
每昔的博客
07-30 818
设置 Options - General,选择Line prefixes并设置Number of Opcode Bytes 为6.可以看到16进制代码 Options - General,选择Auto comments,IDA帮助注释 窗口 函数窗口:左拖拽,可以看到长度,以函数长度排序,过滤出规模大的函数 每个函数也关联了一些标志位(F,L,S)。L--库函数 名字窗口:函数名,命...
恶意代码分析实战 [(美)斯科尔斯基,(美)哈尼克著][电子工业出版社][2014.04][704页].part2.rar
09-12
因为是在淘宝买来的,所以要分有点高,希望谅解,有两个压缩包,这是第二个,第一个在我资源里面找。下下来一起解压,完整版的,不是样章,放心下载
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
恶意代码分析实战
03-07
恶意代码分析实战
恶意代码分析实战(带目录)
10-05
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码实战分析Lab05-01
王陈锋的博客
06-10 920
Lab05-01 只用IDA Pro分析在文件Lab05-01.dll中发现的恶意代码。这个实验的目标是给你一个用IDA Pro动手的经验。如果你已经用IDA Pro工作过,你可以选择忽略这些问题,而将精力集中在逆向工程恶意代码上。 1.DllMain的地址是什么? 使用IDA打开后,鼠标所在位置 或者点击图中红色区域 然后会出现viewB 然后可以右键点击 便到了dllmain的开头地址。 2.使用Imports窗口并浏览到gethostbyna......
恶意代码分析实战源码
qq_38393271的博客
03-16 1106
** 恶意代码分析实战源码 ** 百度网盘链接:链接:https://pan.baidu.com/s/1jzThUG2Z1ddBwsEHfj5Ukg 提取码:umxz 记得点赞!!!!!
恶意代码分析实战 第五章课后实验
Stronger_99的博客
04-10 951
问题1: 用ida打开Lab05-01.dll。就可以看到DllMain的地址为0x1000D02E。 问题2: 点开Imports,找到gethostbyname,双击点进去就可以看到了。 问题3: 单击地址,Ctrl+x。 一共检测到18个,但是并不全是,r为读取不是函数的调用,p才是函数的调用,看地址1047,1365,1656,208F,2CCE。一共有5...
恶意代码分析实战Lab0501补充
ACdream
02-17 333
首先是网上的分析writeup:https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/PSLIST:检测操作系统平台为VER_PLATFORM_WIN32_NT;操作系统版本不低于windowsXP(没找到证据)问题14处的时间应该是30s,30000ms问题17:找寻0xED,一个一个翻可...
恶意代码实战分析——lab11-02
weixin_51409218的博客
03-04 485
恶意代码实战分析——lab11-02
xss-lab 通关实战
最新发布
01-02
当应用允许用户输入HTML内容而不加严格控制时,恶意用户可以注入JavaScript代码来执行各种有害操作[^1]。 #### 防御策略概述 为了有效应对这种类型的威胁,采用白名单过滤机制成为不可或缺的选择。该方法只允许特定...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值