动态分析Lab07-03.exe

Posted seven昔年

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了动态分析Lab07-03.exe相关的知识,希望对你有一定的参考价值。

目录

1.静态分析确定的线索

IP:127.26.152.13

Lab07-03.dll

kerne132.dll

2.动态分析对上述线索的验证分析过程

(1)基础动态分析

Process Explorer

image-20210601101142321

可以看到,进程只有一个Lab07-03.exe

Process Monitor

image-20210601104110617

配置规则仍后无法得到信息,进程启动后自动关闭

Wireshark抓包

image-20210601103932267

抓不到任何相关的包

(2)分析DLL文件

image-20210601104504246

可以发现确实存在kerne132.dll和Lab07-03.dll以及WARNING_THIS_WILL_DESTROY_YOUR_MACHIHE的字样

image-20210601104643256

Ping 可疑IP地址后发现是127.0.0.1响应,说明是回环地址

image-20210601104818534

Onlydbg运行后发现程序会自动终止在ntdll.NtTerminateProcess+0c

分别搜索kerne132.dll和Lab07-03.dll,没有任何发现

3.动态分析的结论

1、这个程序无法正常运行,或许是缺失了关键dll文件。

4.动态分析中尚不能确定,有待进一步分析的内容

1、无法进一步继续运行程序,不知道程序后续的操作内容

2、无法判断程序是否是恶意软件

以上是关于动态分析Lab07-03.exe的主要内容,如果未能解决你的问题,请参考以下文章

[NTUSTISC pwn LAB 2]栈溢出:gdb动态调试bof2

Lab 7-3

[NTUSTISC pwn LAB 1]栈溢出:gdb动态调试bof

初步动态分析

第3章-动态基础分析实验

20145326蔡馨熤《计算机病毒》——动态分析