这个题题目名字是junkcode，给人的第一反应是要去除花指令 ~ ~ ~ 其实做题的过程和花指令并没有半毛钱关系，只是干扰了IDA的使用，从而无法进行静态分析而已 因为重点思路总是习惯性的放在了去花上，导致了其实很简单的算法，没有跟踪到数据的起始和目标节点，浪费了很多分析时间。 首先运行，看到error in open flag. 打开IDA，静态分析 这就是花指令的作用，看起来心烦，不知道程序在干什么。于是OD来动态调试 根据字符串提示以及exit的退出，我们猜测，程序需要读取名为flag的内容，从而与flag.enc的内容进行运算后的比对。 于是在当前目录下新建个flag文件，...

问题1：DllMain的地址 地址是1000D02E 问题2：使用Imports窗口浏览到gethostbyname，导入函数定位到什么地址 地址是100163CC 问题3：有多少函数调用了gethostbyname 问题4：在位于0x10001757处对于gethostbyname的调用，触发的是哪个DNS请求 如上图所示，1757的调用时图上的第六个，所以我们来分析1656这个函数即可 在函数中找到gethostbyname的调用，前后观察其重要的常量字符串 问题5、6：IDA识别了1656函数的多少个局部变量和参数 这个问题其实没有太大意义，知道怎么操作就好。 当前版...

首先是网上的分析writeup： https://jmprsp.wordpress.com/2016/02/09/practical-malware-analysis-ida-pro-lab-5/ PSLIST：检测操作系统平台为VER_PLATFORM_WIN32_NT；操作系统版本不低于windowsXP（没找到证据） 问题14处的时间应该是30s，30000ms 问题17：找寻0xED，一个一个翻可以找到书中的特征汇编码：in eax，dx https://debug.fail/2015/11/practical-malware-analysis-lab-5-1-notes/ 上面这...

问题1：main调用的子过程的代码结构 就一行代码，if语句的判断，当401000函数返回非0，main返回1；401000函数返回0，main返回0 问题2：40105F子过程分析 刚才main中的分析，跟踪到401000函数 啊函数使用局部变量v1，调用API函数InternetGetConnectedState：该函数返回本地系统的网络连接状态（局域网不起作用） 问题3：程序目的 判断当前机器是否连接互联网

问题1：main调用的第一个子过程 问题根据函数调用逻辑关系，main中第一个子过程是401000，第二个子过程是401040。 401000的操作：InternetGetConnectedState：判断当前机器是否连接互联网 问题2：位于40117F的子过程 401000的操作40117F函数在IDA成这样 看不出来细节要做什么 根据main的图示，分析401000和401040的代码逻辑，发现 40107F可以简单理解成printf的功能 问题3、4：main调用的第二个子过程，使用了什么代码结构 第二个子过程是401040，主要函数逻辑是if-else框架结构 根据调用的几个...

问题1、2、3、4：分析main函数 多的函数是401130 使用的参数是lpExistingFileName，a1是一个标记变量，以switch为分类进行操作 根据不同的API函数功能，a1不同取值 a1=‘a’：创建新目录 a1=‘b’：复制文件 a1=‘c’：删除文件 a1=‘d’：注册表操作 a1=‘e’：睡眠100s 其他值：输出“Error 3.2: Not a valid command provided” 问题5、6：恶意代码的本地特征以及功能目的 本地特征是各种特征字符串 注册表的修改以及本地文件的更新：C:\\Temp\\cc.exe 在0602程序的基础上，...

问题1、2：分析main函数 多的结构是for循环。表示多次重复探测 问题3：解析HTML的函数 并没有看出什么区别…… 问题4：程序运行的时间 根据main中循环变量 i 跑了1440次。当v5 = 1时，即401040函数返回1时，函数每次都会sleep60s也就是1分钟，所以程序会在线1440min = 24h = 1天 问题5：程序新的基于网络的迹象以及目的 和0603没看出来什么区别

Lab0601补充 https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-6-1/ Lab0602补充 Buffer是读取文件的缓冲区，根据 if 语句，当前四个字符是“<!--”。return的返回值是Buffer的第五个字符 https://debug.fail/2015/11/practical-malware-analysis-lab-6-2-notes/ https://e.rutlib4.com/book/21347/p/224...

有多种方法可以对注册表实现新建、修改、删除等 在恶意代码的行为之中，一般都是将其自身设置到Windows的开机自动启动项中，以达到开机自启动的目的，从而实现对本地机器的监控、开启后门、木马服务端等的功能 方法一：本地运行reg脚本、 举例如下： Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Calculation"="C:\\Windows\\system32\\calc.exe" [HK...

http://blog.csdn.net/chinamming/article/details/18994783 啊 有关任务计划的API函数： 增加任务计划：NetScheduleJobAdd（） 删除任务计划：NetScheduleJobDel（） 枚举特定主机上的所有任务计划：NetScheduleJobEnum（） 获取特定主机上的任务计划信息：NetScheduleJobGetInfo（） 获得任务计划服务（AT服务）的账户名称：GetNetScheduleAccountInformation（） 设置任务计划服务的账户名称和密码：SetNetScheduleAccountInfo...

运行程序，发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数 问题1：如何实现持久化驻留 程序运行过程中，会开启一个名为MalService的服务 运行net start查看机器当前开启的服务，惊人发现~服务没有开起来，可能是哪个地方姿势不对吧 问题2：程序的互斥量 找到mutex Name是个常量字符串：HGL345 说明该程序只能运行一个实例 同时打开多个，在几秒钟之内，除了第一个的以外的实例都会自动停止运行 下图是在Process Explorer中找到的mutex信息 也可以用windbg来看，查找所有的句柄handle，然后找到mutex 问...

动态运行程序行为：自动打开了网页：www.malwareanalysisbook.com/ad.html 静态分析使用IDA 标红线的这两个API是针对COM（组件对象模型）进行的操作 不清楚IDA对于CLSID和IID格式的解读，在systemlookup网址没有查询到对应的 查看对应的strings也没有找到与动态执行相关的URL，psz就是这个URL的值（UNICODE，可能格式不同导致IDA没有识别） 在Imports中查看对应的API函数，也没有找到与打开网页相关的 于是想到用PEID：VC++6.0 strings 然后可以实现个啥呢：在winhex之中找到这个字符串，任意修...

动静态结合分析过程 特征字符串：kernel32和kerne132（注意是小写字母l和数字1） 程序在运行的时候要带一个参数运行~常量字符串~ 这里CreateFile的功能是打开某个目录下的文件 看到main的最后几行代码，调用了函数4011E0，且参数是C：\* IDA对4011E0的分析，看到了标志性API函数：FindFirstFile和FindNextFile。知道4011E0是对C盘下的文件进行地毯式搜索 当找到某个文件是以后缀.exe结尾的，调用4010A0处理 4010A0的功能没有分析出来，只看到了个标记字符0x4550（PE文件的magic） 静态分析差不多了...

和0304是同一个程序，下面是自己当时对0304的分析 http://blog.csdn.net/kevin66654/article/details/79250908 从IDA里分析main 先分析多次重复出现的402410 &parameters是由三部分字符串连接而成的 aCDel是删除符号，&Filename是自身，aNull是>>NULL的终结符号，shell执行之后，exit退出（符号上次的分析，双击后程序删除了自身） 401000函数： 注册表中查询：HKLM\SOFTWARE\Microsoft\XPS\Configuration 接下来一...