当前位置:   article > 正文

《恶意代码分析实战》课后题第一章_1、使用peid、petools、strings等工具完成对恶意代码lab01-04.exe的基础静

1、使用peid、petools、strings等工具完成对恶意代码lab01-04.exe的基础静态分析,

Lab 1-1

2、通过PETools查看文件头

Lab01-01.dll

Lab01-01.exe

3、通过PEID 未加壳

 

 4、通过Dependency Walker查看导入函数

Lab01-01.dll

ws2-32.dll :Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。

Lab01-01.exe

msvcrt.dll:的C语言运行库执行文件

 创建文件,复制文件

4、5 通过strings查看

Lab01-01.exe

注意kerne1中的1和l的区别 ,在此处建立了文件冒充kernel32

Lab01-01.dll

可能向该网址发送信息

7.有sleep 可能沉睡一段时间之后,创建文件然后通过网络发送到127.26.153.13

Lab 1-2

2、 通过PEiD发现 加壳,UPX加壳

通过free upx脱壳

 3、

 创建互斥和进程,隐藏始终运行

打开网址 

4

 创建服务,并访问该网址

Lab1-3

2、

加壳,通过万能脱壳工具脱壳

 

 3、

ole.dll文件的对象嵌入功能允许用户从一个应用程序(源)被嵌入在另一个应用程序(目的地)获得的数据。,猜测可能是调用另一个恶意软件的。

4、

通过strings发现一个网址,可能是打开该网址(广告)

Lab1-4

 2、

未加壳

 3、

通过PETools查看,但是这个时间是被修改的,因为这个恶意软件题目是2015年提出的。

4、通过Dependency Walker

创建文件、写文件,移动文件、打开进程 

提权

 5、创建文件,移动、写文件

在特定位置创建文件、下载文件

 6、

可以看出,在资源节里存在了 另一个PE文件,通过Resource Hacker导出二进制文件

执行软件、获取目录 

可以猜测为一个下载器 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/725066
推荐阅读
相关标签
  

闽ICP备14008679号