title: 恶意代码实战分析Lab 9-1
id: 2c36360e-4651-4655-ae7f-790a19c56946
date: 2024-08-16 20:23:20
auther: 1256455767
cover: null
excerpt: Lab 9-1 用OllyDbg和IDA Pro分析恶意代码文件Lab09-01.exe，回答下列问题在第3章中,我们使用基 础的静态和动态分析技术，已经对这个恶意代码做了初步分析。 问题 1.如何让这个恶意代码安装自身? 通过提供指定命令行参数进行安装 ,或者强行更改代码逻辑. 1.有两种命令行参
permalink: /archives/544c4700-c624-4425-8982-c11898d85bcb
categories:

• windowsni-xiang
  tags:
• er-jin-zhi-fen-xi

Lab 9-1

用OllyDbg和IDA Pro分析恶意代码文件Lab09-01.exe，回答下列问题在第3章中,我们使用基

础的静态和动态分析技术，已经对这个恶意代码做了初步分析。

问题

1.如何让这个恶意代码安装自身?

通过提供指定命令行参数进行安装 ,或者强行更改代码逻辑.

1.有两种命令行参数选项.

1.1 3个命令行参数 (1)进程名[后面会根据进程名安装服务也就是服务名] (2)''-in" (3)"abcd";

1.2 4个命令行参数 (1)单纯进程名 (2)''-in" (3)指定服务名字符串 (4)"abcd";

2.这两种方法区别就是一个是使用进程名当服务名一个是根据第三个命令行参数指定服务名.

2.这个恶意代码的命令行选项是什么?它要求的密码是什么?

1.有4个命令行选项.

"-in":是安装自己;

"-re":是删除自己和注册表参数和服务进程.

"-c":是修改注册表参数.

"-cc":是打印注册表参数.

2.密码是"abcd";

3.如何利用OllyDbg永久修补这个恶意代码，使其不需要指定的命令行密码?

1.修改0x00402B38出的跳转为jmp跳转.这样就不论密码是否正确都能正常执行.方法不止这一种.

4．这个恶意代码基于系统的特征是什么?

1.注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \XPS(Microsoft后面是有空格的)键中会有一个'Configuration'项,里面存着命令.

2.用户展示服务界面存在名为"Manager Service"的服务.

3.会根据帮当前文件复制一份到C:\windows\system32目录下,如果是64位是SysWOW64下.

5．这个恶意代码通过网络命令执行了哪些不同操作?

5种命令:

1."SLEEP":sleep睡眠指定时间.

2."UPLOAD":保存收到的数据到指定文件中.

3."DOWNLOAD":读取指定文件数据并回传.

4."CMD":执行命令并回传cmd输出的二进制数据.

5."NOTHING":什么也不做.

6．这个恶意代码是否有网络特征?

1."http://www.practicalmalwareanalysis.com"访问了这个链接.这个链接是可以随机生成的 "xxxx/xxxx.xxx"按照这种格式生成.

2.基于"HTTP/1.0"的通讯协议.恶意代码网络请求是默认的没有修改任何信息.