恶意代码检测系统源码，恶意代码检测分析和防御技术

本内容由系统网小编为大家分享，Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

0x01 前言

样本取自https://any.run/, 本文主要记录分析过程、思考技巧,

0x02 基本信息

表1-1 样本信息

表1-2说明了测试环境和工具。

1.1查壳

图1-1

1.2导入表

图1-2:表格查看器导入

1.3资源表

图1-3 PE细节

图1-4 资源表

第1号Procex 监视器

(1) 停止活动蒸发者

图1-5 释放文件

2）程序退出

主应用程序终止, 使蒸发者程序到位 。

图1-6 程序退出

3）进程对比

在微软 Windows 操作系统中, Svchost 是一个系统文件 。据微软称,Svchost是从 DLL 执行的服务的一般主机程序名称。这一软件对于该系统的正确运行至关重要。它不会停止。其中一些服务是从向这一进程注入某种东西开始的。因此,这份文件将经历许多阶段。

图1-7 文件对比

1.5 锥虫监测

监视可识别主要应用产生的蒸发者。

WriterFile 和 CreateFile 函数与实用软件分析函数相关。 日志文件工作如下:

图1-8 文件操作

图1-9 键盘记录

因此,执行后,应用软件释放了蒸气主机,然后关闭了主程序,使蒸气主机可以创建实用的磁器分析.log,记录键盘数据。

0x03 样本分析

1.1 两项主要职能

图2-1:初级职能

函数 2. 2

跟随 sub_ 40149D 函数, 并将参数 BufSize 和 Buffer 发送到 GetSystem 日志A, 该系统目录是搜索系统目录的一条途径, 包括动态链接库和驱动器等系统文件 。

图2-2中的40149D

在调用 GetSystem 日志A 方法后, eax的长度为 19, ebp+0xC 。

路径。

Sub_40149D 在图2-3中重新出现

图2-4再次出现40149D

3 2 函数子40132C

运输参数指定了 PE 文件的位置 。

图2-4显示了40132C子返回。

图2-6 子40132C的函数

图2-8 函数子40132C

资源名判断

图2-8 资源名称选择

or_4010EA 函数 2. 4

函数, 构造 svchost, 然后应用到内存, 存储由线条在内存中收集的内存值 。

图2-9 设置蒸气鬼。

主应用程序终止, 且未分析已释放的 PE 文件 。

图2-10 程序差异

0x04 总结

当您执行一个程序时,将创建一个名为 Svchost 的程序,而主程序将自动离开,留下程序来捕捉键盘和文件操作信息。

声明

以上是该条的原始作者,因分发该条所提供资料而造成的任何直接或间接影响和损失,完全属于用户的责任,而Long White Hills攻击实验室和文章作者都不应对此负责。

如要复制或分发该文章,则必须保证该文章的副本,包括版权声明等所有材料,必须保证宣布准许长白山进攻性实验室,不得任意编辑、减少或出于商业原因以任何方式使用该文章的内容。

XTw.com.Cn系统网专业应用软件下载教程，免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息，解决一体化的办公方案。