漏洞挖掘-静态分析实验笔记

来源:http://bbs.ichunqiu.com/thread-8978-1-1.html?from=ch

课程链接:http://www.ichunqiu.com/course/145

实验工具:

strings  xxx.exe               //查看有哪些可打印的字符

petools   查看pe结构

virscan  在线查毒工具

free upx  用于脱upx的壳

linxerunpacker  通用的脱壳工具

resource hacker  可以将目标程序中的资源提取出来

实验思路:

1.利用网络扫描工具对目标程序进行扫描

2.利用本地静态分析工具分析目标程序

3.提取资源中的内容

实验步骤:

1.使用在线扫描工具进行扫描(使用的是virscan)

漏洞挖掘-静态分析实验笔记_第1张图片
漏洞挖掘-静态分析实验笔记_第2张图片

2.使用peid查看是否加壳

漏洞挖掘-静态分析实验笔记_第3张图片

发现没有加壳,用vc++编写的

3.使用petools查看文件编写时间

漏洞挖掘-静态分析实验笔记_第4张图片
漏洞挖掘-静态分析实验笔记_第5张图片
漏洞挖掘-静态分析实验笔记_第6张图片

很明显时间被作者修改过

4.看一下导入了哪些函数(使用peid)

漏洞挖掘-静态分析实验笔记_第7张图片
漏洞挖掘-静态分析实验笔记_第8张图片

以下这几个函数是病毒经常调用的函数,createfile用于文件的创建,writefile用于文件的写入,winexec可以用于执行一个文件

漏洞挖掘-静态分析实验笔记_第9张图片

findresource和sizeofresource是关于资源的函数,也要引起注意

漏洞挖掘-静态分析实验笔记_第10张图片

有一个getwindowsdirectory这个api函数,此函数可以获得windows目录,恶意程序可能会通过此函数将自身复制到系统目录下

漏洞挖掘-静态分析实验笔记_第11张图片

在advapi32.dll中的那三个函数可以用来提升权限

漏洞挖掘-静态分析实验笔记_第12张图片

5.查看有哪些行为

可能会进行网络通信

漏洞挖掘-静态分析实验笔记_第13张图片

6.提取资源

大概看一下可以知道应该是PE文件

漏洞挖掘-静态分析实验笔记_第14张图片

将他保存为二进制文件

漏洞挖掘-静态分析实验笔记_第15张图片

使用petools具体查看是哪种PE文件(PE文件分为两种:exe和dll)

将新生成的二进制文件拖到petools里然后查看文件头

漏洞挖掘-静态分析实验笔记_第16张图片

15.png(122.67 KB, 下载次数: 0)

下载附件保存到相册

半小时前上传

看到dll没有打勾说明是exe文件

目前就学了这些,以后会继续努力学习

你可能感兴趣的:(漏洞挖掘-静态分析实验笔记)