1 / 15

小组成员:孙 骞 胡 蒙

恶意代码分析实验报告. 小组成员:孙 骞 胡 蒙. 基础综述 实验过程 心得体会. 基础概述. 恶意代码( malicious code )是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意软件的传染的结果包括浪费资源、破坏系统、破坏一致性,数据丢失和被窃并能让客户端的用户失去信心。. 基础概述. 恶意代码的分析方法可分为两大类:静态分析、动态分析。 静态分析不运行程序,通常先进行反汇编;分析控制流与数据流确定功能;

orpah
Download Presentation

小组成员:孙 骞 胡 蒙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 恶意代码分析实验报告 小组成员:孙 骞 胡 蒙

  2. 基础综述 • 实验过程 • 心得体会

  3. 基础概述 恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意软件的传染的结果包括浪费资源、破坏系统、破坏一致性,数据丢失和被窃并能让客户端的用户失去信心。

  4. 基础概述 恶意代码的分析方法可分为两大类:静态分析、动态分析。 静态分析不运行程序,通常先进行反汇编;分析控制流与数据流确定功能; 动态分析:运行时分析,对于混淆、自变化程序有免疫性,但是运行哪段代码需要慎重选择。 本次实验分析的名为RaDa的恶意代码

  5. 实验过程 将rada.rar在虚拟机解压,并运行MD5对其进行校验,得如下信息摘要:

  6. 实验过程 运行wireshark、Filemon、Regmon ,执行RaDa.exe。我们发现RaDa.exe在C盘根目录下生成了两个子目录:bin和tmp。

  7. 实验过程 Filemon监控发现RaDa.exe文件激活,并将木马文件释放到了bin中。

  8. 实验过程 注册表监控发现rada.exe在注册表的启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立了RaDa的键值,并将C:\RaDa\bin\ RaDa.exe路径添加了进去。

  9. 实验过程 我们用ollydbg打开rada.exe 后发现入口处的汇编代码是典型的UPX加壳后程序的入口代码。

  10. 实验过程 通过脱壳,并用IDA对脱壳后的二进制文件进行反汇编,发现了该程序的运行参数

  11. 实验过程 我们运行其中一个参数“--gui”

  12. 实验过程 得到了该程序的运行界面

  13. 实验过程 我们利用IDA查看,发现RaDa.exe还使用cgiget和cgiput等参数,而且,通过FileMon和RegMon发现RaDa除读取注册表和文件信息外,没有更多改写文件和注册表等行为。 综合判断,该程序不大可能是病毒和蠕虫,而更有可能是一个比较典型的主动反弹型木马或者后门程序。

  14. 心得体会 通过实验,我们初步学习到了一些简单的恶意代码分析方法和手段,对网络安全有了一定的认识,也为今后在相关方面的研究打下了一定的基础。

  15. 谢谢!

More Related