必赢亚洲手机app下载


让硬盘灯不再狂闪

不可捉摸的文书同步软件766net必赢亚洲手机版

分析病毒注意事项

 

        病毒分析第一讲,分析病毒注意事项,以及简单分析主要功效

一丶认识木马和病毒的分别

木马和病毒是多个分裂等的,有人会把木马认为是病毒,但骨子里不是

说下分别

 

木马:

  木马没有破坏性,木马主要功效是采访用户音讯,控制机械等等.

病毒:

  病毒一般包罗破坏性的一言一动,比如格式化盘符,修改电脑的文本,传染….

二丶分析病毒的前提准备

1.在条分缕析病毒样本往日,首先要把病毒的名字修改一下.

比如:

  766net必赢亚洲手机版 1,加上.v后缀

2.应用虚拟机进行辨析(当然你能够用真机分析,^_^),并且成立虚拟机快照

766net必赢亚洲手机版 2虚拟机软件

3.建立快照

 建立快照从前,提议把所以该用到的工具举行配置.配置好了所有就可以起来正常操作了.

766net必赢亚洲手机版 3

4.观测病毒行为

  1.率先种分析方法

      关键API下断点

    CreateFile  CreateProcess  OpenProcess, WriteProcessMemory 
VirtualAllocEx,服务相关,注册表相关,网络有关,因为倘若是病毒,肯定会操作的.

  2.次之种分析方法

    使用一种着眼其行事的工具,在虚拟机中看看在怎么办.

    工具:766net必赢亚洲手机版 4

工具会打包上传

766net必赢亚洲手机版 5

设置好之后的界面:

设置:

  工具-选项-爱慕-设置尊崇格局

766net必赢亚洲手机版 6

 

  1.学习格局, 可以检测特定程序的施用的紧要API,比如:
创造文件,修改内存…不过不阻止

  2.健康情势,正常形式则会在调用这几个主要API之后,则会问你是或不是允许操作

  3.释然方式,安静情势则不操作,不提示.

三丶在念书方式下,寓目病毒行为

一丶分析病毒的宗旨表现

那时,大家可以把大家的病毒样本放到虚拟机中运作了,若是建立了快照,则可以运作起来了,到时候恢复快照即可.

病毒样本:

  766net必赢亚洲手机版 7

拖放到虚拟机中运作,先开辟Mal病毒分析工具

766net必赢亚洲手机版 8并运行.

第一步初次分析获得

 766net必赢亚洲手机版 9

766net必赢亚洲手机版 10

 

  可以得出

  1. 重点样本会释放 山姆pleSrv.exe子体

  2.基点创制进行,运行萨姆pleSrv.exe

  3.关键性不断的修改其他进度内存

  4.子体SamPleSrv.exe释放DestToplayer.exe

  5.字体萨姆PleSrv.exe创立举行运作了DestToplayer.exe

  6.Desttoplayer.exe运行iexplore.exe

  7.Iexplore.exe修改注册表的值

  8.Iexplore.exe不断的修改文件

经过得出流程图

  766net必赢亚洲手机版 11

 

 二丶根据第三遍分析,分析现实怎么办.

  根据第一遍的解析,大家发现Iexipore.exe
(也就是IE浏览器)不断的修改文件(感染文件)

1.叠加感染文件

那么此时,大家OD附加一下,然后在CreateFile下断点,因为感染文件肯定会打开文件.

766net必赢亚洲手机版 12

OD附加进度是存在的,因为创立过程的时候,窗口已经隐藏了.

2.打开模块,关键api下断点

ALT + E打开

766net必赢亚洲手机版 13

CTRL + N 查看CreateFile

3.关键API下断点

766net必赢亚洲手机版 14

4.栈回想看其何人调用

766net必赢亚洲手机版 15

766net必赢亚洲手机版 16

5.查看节,看下边于哪个节

766net必赢亚洲手机版 17

属于一个堆内存

节区开始是

2001000

大小是 D000

咱俩跳转到那一个节地址

766net必赢亚洲手机版 18

在内存中看看,它是一个EXE? MZ伊始

大家查阅下OEP,然后在内存中DUM那块内存下来.

766net必赢亚洲手机版 19

B0先河是我们的PE头,那么 OEP的入口点是7C79

766net必赢亚洲手机版,直接DUp内存

6.Dup内存

766net必赢亚洲手机版 20

率先用的这些工具是OD插件中带的.网上可以查到很多.(工具会卷入)

7.IDA分析dump出来的文书

766net必赢亚洲手机版 21

7.1,分析导入表,查看CreateFile被哪个人引用

766net必赢亚洲手机版 22

按X键看被哪个人引用

766net必赢亚洲手机版 23

一步一步往上跟

766net必赢亚洲手机版 24

首先次跟到那里,大家点击上边的诠释哪儿,可以一而再网上跟,看什么人引用了.

注意,上面的诠释没有我如此多大家要安装一下 

粤语:设置 – > 常规 – > 呈现交叉参考 – > 设置你欢快的多少

英文: Options – > General – > Cross-references ->
disassembly(Non-Graph) -> 设置你喜爱的

766net必赢亚洲手机版 25

一层一层的交叉引用展开,粗略的按下F5键看一下,其中一个是修改PE文件的,暂时可以将以此引用修改为
修改PE 节(ChangePE Sections)

766net必赢亚洲手机版 26

 

一层一层的往上跟可以看到遍历文件,所以我们修改一下函数名字

766net必赢亚洲手机版 27

持续网上跟可以见见得到磁盘驱动器的函数

766net必赢亚洲手机版 28

按下x,看下此函数何人调用的.大家发现它是一个线程开辟去做的事务,那么这么些线程看下是哪个人用的.

那就是说继续往下追则是DLLEntry了,也就是 DLL main DLL的入口点了.

通过得出,那几个是DLL,被注入的IE中的,然后实施顺序,不断循环遍历文件,举办感染exe文件的.

那么大家要清楚怎么注入的,在上面的沙箱中也没看出,前日讲解.

 

 

 链接: https://pan.baidu.com/s/1eRSOjpK 密码:
19jt

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图