恶意代码分析实验报告_第1页
恶意代码分析实验报告_第2页
恶意代码分析实验报告_第3页
恶意代码分析实验报告_第4页
恶意代码分析实验报告_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

小组成员:孙骞

胡蒙

恶意代码分析实验报告基础综述实验过程心得体会基础概述恶意代码(maliciouscode)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意软件的传染的结果包括浪费资源、破坏系统、破坏一致性,数据丢失和被窃并能让客户端的用户失去信心。基础概述恶意代码的分析方法可分为两大类:静态分析、动态分析。静态分析不运行程序,通常先进行反汇编;分析控制流与数据流确定功能;动态分析:运行时分析,对于混淆、自变化程序有免疫性,但是运行哪段代码需要慎重选择。本次实验分析的名为RaDa的恶意代码实验过程将rada.rar在虚拟机解压,并运行MD5对其进行校验,得如下信息摘要:实验过程运行wireshark、Filemon、Regmon,执行RaDa.exe。我们发现RaDa.exe在C盘根目录下生成了两个子目录:bin和tmp。实验过程Filemon监控发现RaDa.exe文件激活,并将木马文件释放到了bin中。实验过程注册表监控发现rada.exe在注册表的启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立了RaDa的键值,并将C:\RaDa\bin\RaDa.exe路径添加了进去。实验过程我们用ollydbg打开rada.exe后发现入口处的汇编代码是典型的UPX加壳后程序的入口代码。实验过程通过脱壳,并用IDA对脱壳后的二进制文件进行反汇编,发现了该程序的运行参数实验过程我们运行其中一个参数“--gui”实验过程得到了该程序的运行界面实验过程我们利用IDA查看,发现RaDa.exe还使用cgiget和cgiput等参数,而且,通过FileMon和RegMon发现RaDa除读取注册表和文件信息外,没有更多改写文件和注册表等行为。综合判断,该程序不大可能是病毒和蠕虫,而更有可能是一个比较典型的主动反弹型木马或者后门程序。心得体会通过实验,我们初步学习到了一些简

人人文库> 全部分类> 教育资料 > 中学教育

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论