惡意程式碼分析實戰-確認EXE什麼時候編譯的
場景
確認開源的後門在中毒機器上是什麼版本,具有什麼功能。
思路
1、檢視樣本PE裡的編譯時間
2、對照開源後門裡元件的編譯時間
技術點
檢視NT頭-TimeDateStamp
struct IMAGE_NT_HEADERS NtHeader E8h F8h Fg: Bg:0xFFE0FF
time_t TimeDateStamp 12/19/2010 16:16:19 F0h 4h Fg: Bg:0xFFE0FF DWORD,from 01/01/1970 12:00 AM
參考
https://www.cnblogs.com/zheh/p/4008268.html
https://blog.csdn.net/baidu_41108490/article/list/1
相關推薦
惡意程式碼分析實戰-確認EXE什麼時候編譯的
場景 確認開源的後門在中毒機器上是什麼版本,具有什麼功能。 思路 1、檢視樣本PE裡的編譯時間 2、對照開源後門裡元件的編譯時間 技術點 檢視NT頭-TimeDateStamp struct IMAGE_NT_HEADERS NtHeader E8h F8h Fg: Bg:0xFFE
2018/11/03-棧、x86架構和暫存器-《惡意程式碼分析實戰》
棧用於函式的記憶體、區域性變數、流控制結構等被儲存在棧中。棧是一種用壓和彈操作來刻畫的資料結構,向棧中壓入一些東西,然後再把他們彈出來。它是一種先入後出(LIFO)的結構。 x86架構有對棧的內建支援。用於這種支援的暫存器包括ESP和EBP。其中,ESP是棧指標,包含了指向棧頂的記憶體地址。一些東西
2018/10/03-字串指令(重複指令、操作資料緩衝區指令)、rep與movx指令-《惡意程式碼分析實戰》
重複指令是一組操作資料緩衝區的指令。資料緩衝區通常是一個位元組陣列的形式,也可以是單字或者雙字。(Intel'稱這些指令為字串指令) 最常見的資料緩衝區操作指令是movsx、cmps、stosx和scasx,其中x可以是b、w後者d,分別表示位元組、字和雙字。這些指令對任何形式的資料都有效。
2018/10/03-函式呼叫約定、cdecl、stdcall、fastcall- 《惡意程式碼分析實戰》
cdecl是最常用的約定之一,引數是從右到左按序被壓入棧,當函式完成時由呼叫者清理棧,並且將返回值儲存在EAX中。 stdcall約定是被呼叫函式負責清理棧,其他和cdecl非常類似。 fastcall呼叫約定跨編譯器時變化最多,但是它總體上在所有情況下的工作方式都是相似的。在fastcall
《惡意程式碼分析實戰》--第三章:動態基礎分析
一、虛擬網路環境配置 配置環境:伺服器端kali2.0 客戶端win7 1、配置inetsim kali自帶inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置連結:http://www.cnblogs.com/hyq20135317/p/5515675.h
《惡意程式碼分析實戰》--第一章:靜態分析基礎技術
**請參考大神的連結:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 這裡我只是記錄我的學習過程** 2、用PEtools開啟,檢視日期 .exe .dll
2018/11/06-異常-《惡意程式碼分析實戰》
異常機制允許一個程式在普通執行流之外處理事件。多數時間裡,異常是由錯誤引起的,諸如除零錯誤。當一個異常發生時,執行轉移到處理這個異常的特殊例程。有些異常,比如除零異常,是由硬體丟擲的;其他的,比如無效記憶體訪問,是由作業系統丟擲的。你也可以在程式碼中使用RaiseException呼叫,顯示地丟擲一個異常
2018/11/08-偵錯程式-《惡意程式碼分析實戰》
偵錯程式是用來檢測或測試其他程式執行的以來軟體或硬體。由於剛完成的程式包含錯誤,因此偵錯程式在軟體開發過程中可以大顯身手。偵錯程式讓你能夠洞察程式在執行過程中做了什麼。偵錯程式的目的是允許開發者監控程式的內部狀態和執行。 從偵錯程式獲得程式的資訊可能比較困難,但並不意味著不可能,可以從反彙編器中獲得
惡意程式碼分析實戰
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
惡意程式碼分析實戰 Lab 5-1 習題筆記
Lab 5-1 問題 1.DllMain的地址是什麼? 解答: 這個我們用IDA Pro開啟來查詢,因為最新的IDA Pro不支援我們執行病毒那個虛擬機器的版本(xp pro 32),所以下面的分析都是在win7上的 開啟IDA Pro之後就會提
惡意程式碼分析實戰 Lab09-01(1)
分析報告: 1. 樣本概況 病毒名稱為Lab09-01.exe,使用Microsoft Visual C++ v6.0編譯。 1.1樣本資訊 病毒名稱:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值
惡意程式碼分析實戰-啟動一個惡意的DLL
如果不能把惡意程式碼執行起來,那麼動態分析基礎技術沒有什麼用。 Windows版本中包含rundll32.exe程式,提供了一個執行DLL的平臺。 rundll32.exe Dllname,Export arguments Export值必須是一個DLL檔案匯出函式表中的函式名或者序號。 PEID可以
惡意程式碼分析實戰第15章
對抗反彙編,在很大程度上就是運用花指令技術,使得IDA的強大F5功能失效,在只能靜態分析時讓程式碼顯得亂七八糟,沒有頭緒,將知識點總結如下用IDA python對指令進行NOP替換import idaapi idaapi.CompileLine('static n_key()
惡意程式碼分析實戰 Lab19
lab19-011IDApro開啟看到解碼程式碼如下od除錯的時候顯示說無法作為及時偵錯程式除錯,所以只能用windbg,雖然麻煩了點解碼後程序先跳到003a0464接著在464處,馬上呼叫003a03bf函式步入檢視程式又呼叫003a039e函式步入檢視函式,這段函式很短,
惡意程式碼分析實戰Lab1204
GetModuleBaseName:獲取檔案程序完整路徑EnumProcesses:檢索程序中的每一個程序識別符號。帶三個引數,DWORD 型別的陣列指標 lpidProcess;該陣列的大小尺寸 cb;以及一個指向 DWORD 的指標 pBytesRrturned,它接收返
惡意程式碼分析實戰Lab1602
感覺這個程式原來分析過一次,很相似 目的是得到一個長度為4的pw IDA中邏輯非常清晰,在CreateThread中對資料byte_408030進行修改 然後v5作為判斷標誌 在這兒下斷看資料就好~ (然後用OD下斷看不到,結合本章知識點猜想是有
惡意程式碼分析實戰 Lab 3-2 習題筆記
Lab 3-2 問題 1.你怎樣才能讓這個惡意程式碼自行安裝? 解答: 這個看書上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,來執行惡意程式碼匯出installA函式
惡意程式碼分析實戰 Lab21
lab21-011lab09-02還記得話是需要改程式名才能正確執行,所以,程式不會發生什麼額,我的IDApro識別出來main修改下面的jz位jmp其中r11是之前getmodulname得到的當前程式名,另一個由ocl.exe編碼得到,windbg檢視位jzm只有一個ec
惡意程式碼分析實戰 Lab 3-1 習題筆記
Lab 3-1 問題 1.找出這個惡意程式碼的匯入函式於字串列表。 解答: (動態分析建議用winxp pro 32bit,下面你就知道為什麼這麼建議了)我們用Dependency Walker會發現這個程式只有很少的匯入函式,第一是懷疑是不是加殼了
惡意程式碼分析實戰Lab1302
main -> 1851 -> 1070,181F,1000碰到了好多不認識的WINAPI函式GetSystemMetrics:該函式只有一個引數,稱之為「索引」,這個索引有75個ID,通過設定不同的識別符號就可以獲取系統解析度、顯示區域的寬度和高度、滾動條的寬度