漏洞挖掘-静态分析实验笔记
来源:互联网 发布:java执行sql查询语句 编辑:程序博客网 时间:2024/06/05 06:56
http://www.ichunqiu.com/course/145
实验工具:
peid 查壳的工具,主要是pe的结构strings 用于查看目标文件中有哪些可以打印的字符
例如:
strings xxx.exe //查看有哪些可打印的字符
petools 查看pe结构
virscan 在线查毒工具
free upx 用于脱upx的壳
linxerunpacker 通用的脱壳工具
resource hacker 可以将目标程序中的资源提取出来
实验思路:
1.利用网络扫描工具对目标程序进行扫描
2.利用本地静态分析工具分析目标程序
3.提取资源中的内容
实验步骤:
1.使用在线扫描工具进行扫描(使用的是virscan)
2.使用peid查看是否加壳
发现没有加壳,用vc++编写的
3.使用petools查看文件编写时间
很明显时间被作者修改过
4.看一下导入了哪些函数(使用peid)
以下这几个函数是病毒经常调用的函数,createfile用于文件的创建,writefile用于文件的写入,winexec可以用于执行一个文件
findresource和sizeofresource是关于资源的函数,也要引起注意
有一个getwindowsdirectory这个api函数,此函数可以获得windows目录,恶意程序可能会通过此函数将自身复制到系统目录下
在advapi32.dll中的那三个函数可以用来提升权限
5.查看有哪些行为
可能会进行网络通信
6.提取资源
大概看一下可以知道应该是PE文件
将他保存为二进制文件
使用petools具体查看是哪种PE文件(PE文件分为两种:exe和dll)
将新生成的二进制文件拖到petools里然后查看文件头
看到dll没有打勾说明是exe文件
相关链接:http://bbs.ichunqiu.com/thread-8978-1-1.html?from=csdnJG
- 漏洞挖掘-静态分析实验笔记
- 漏洞分析挖掘基础知识
- 漏洞挖掘分析技术综述(转)
- Active x 漏洞挖掘与分析
- 【安全牛学习笔记】漏洞挖掘
- [PHP漏洞]PHP0day漏洞挖掘及防范笔记(一)
- 文本分析挖掘笔记
- 漏洞挖掘
- 漏洞挖掘
- 漏洞挖掘方法之静态扫描+经典栈溢出实例
- 软件漏洞分析:crack小实验
- 静态ida挖掘出漏洞后遇到样本执行不到漏洞函数的解决办法
- TEW-654TR路由器漏洞分析和挖掘
- TEW-654TR路由器漏洞分析和挖掘
- web前端黑客技术揭秘学习笔记-CSRF漏洞挖掘
- web前端黑客技术揭秘学习笔记-XSS漏洞挖掘
- 【安全牛学习笔记】手动漏洞挖掘(二)
- 【安全牛学习笔记】手动漏洞挖掘(三)
- 指针函数与函数指针
- JavaWeb之JSP
- Python: 渐进猜数字游戏 <5> 控制语句
- C
- MySQL Workbench 账户单独授权使用体验
- 漏洞挖掘-静态分析实验笔记
- HDU 4135 Co-prime (容斥原理)
- LeetCode | Add Two Numbers
- win10系统java不是内部或外部命令win10命令行运行java提示找不到或无法加载主类
- 编译MatCaffe
- spring bean的生命周期
- MapReduce的排序和二次排序
- Fedora系统之系统基本使用配置
- Servlet简介