lab1-1
question:
1.上傳檔案至virustotal,有相應的反病毒特徵
2.使用peview無法檢視檔案編譯時間,但virustotal結果顯示:
creation time
2010-12-19 16:16:38
creation time
2010-12-19 16:16:19
3.檔案並未加殼,通過peid簡單判斷是否加殼
4.使用dependency walker 檢視匯入函式:findfirstfile\findnextfile\copyfile\ws2_32.dll(提供聯網功能)
5.使用string檢視可看字串:c:\windwods\system32\kerne132.dll的字串(主機特徵碼)
6.dll檔案含有私有位址127.26.152.13(網路特徵碼)
7.exe安裝dll後門程式
lab1-2
question:
1.病毒查殺引擎有響應的檔案記錄
2.用peid進行檔案查殼upx加殼
3.發現creatservices\internetopen
4.string發現**
lab1-3 略
lab1-4 略
實驗總結:
1.上傳檢測惡意**
2.判斷檔案是否加殼(peid)/(peview檢視節的虛擬記憶體跟實際記憶體)
3.檢視字串(string)
4.檢視匯入表(dependecy walker)
5.找查主機或網路跡象
6.熟悉dll匯入函式使用方法
第1章 靜態分析
1.1反病毒引擎掃瞄 virustotal virscan 1.2雜湊值 惡意 的指紋 md5計算軟體 md5deep winmd5 1.3查詢字串 編碼 ascll 單位元組 unicode 雙位元組 1.4加殼與混淆惡意 tips 加殼程式至少包含loadlibrary和getprocaddre...
第1章 靜態分析基礎技術
書中的例子 fakenet模擬網路的工具 加殼後的惡意程式列印的字串很少 注意 加殼的惡意 至少會包含loadlibary 和 getprocaddress兩個api函式 它們用來載入和使用其它函式功能 加殼程式 upx加殼工具 官網 脫殼upx.exe d pefile pe portable f...
資料結構第1章上機實驗題
以下3題均採用多組輸入 1.1 輸出所有小於等於n n為乙個大於2的正整數 的素數,每行輸出10個,盡可能採用較優的演算法 源 include include using namespace std int main if j k 1 cout 程式截圖 1.3 判斷乙個字串是否是 回文 源 inc...