摘要:
实验三 Lab03-03.exe 1.当使用 Process Explorer 工具进行监视的时候,注意到了什么?2.可以找出内存修改的行为吗?3.这个恶意代码在主机上的感染迹象特征是什么?4.这个恶意代码的目的是什么? 1.运行程序,发现创建了子进程 svchost.exe,主进程 Lab03-0 阅读全文
摘要:
实验1 Lab03-01.exe 实验内容: 1、找出这个恶意代码的导入函数与字符串列表? 2、这个恶意代码在主机上的感染特征是什么? 3、这个恶意代码是否存在一些有用的网络特征码?如果存在,他们是什么? 1.导入函数和字符串列表 字符串有几处可疑的地方:网址、三个注册表值,其中一个注册表值还是自启 阅读全文
摘要:
注:一些恶意代码可能会检测是否在虚拟机环境中运行。17章将具体讨论对抗 VMware 环境的技术。 主机模式网络: 主机模式网络,可以在宿主操作系统和客户操作系统间创建一个隔离的私有局域网。主机模式的局域网并不会连接到互联网。 在配置宿主计算机时,一定要确保补丁完全,且配置一个严格的防火墙,来限制从 阅读全文
摘要:
Lab01-04.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、这个文件是什么时候被编译的? 阅读全文
摘要:
Lab01-03.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、有没有任何导入函数能够暗示出这 阅读全文
摘要:
Lab01-02.exe 实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。 3、有没有任何导入函数能够暗示出这 阅读全文
摘要:
实验内容: 1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?(国内用https://www.virscan.org/替代)2、这些文件是什么时候编译的? 3、这两个文件中是否存在迹象说明他们是否被加壳或混淆了?如果是,这些迹 阅读全文
摘要:
静态分析指的是分析程序指令与结构来确定功能的过程,在这个时候,程序本身是不运行的。 本章将讨论可执行文件提取有用信息的方法,包括以下技术: 使用反病毒软件来确认程序样本的恶意性 使用哈希来识别恶意代码 从文件的字符串列表、函数、文件头信息种发掘有用的信息 1.反病毒引擎的扫描 分析一个可疑样本的时候 阅读全文