按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程

Lab0901

-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除

因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序

在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务

根据自己的分析,-re AAA abcd是删除,因为找到了对应的API,但是因为 -in 选项没有找到对应的东西,所以 -re 也分析不了


修改的是注册表项里的东西~所以在目录下是搜索不到的

后门分析:函数402020实现,有SLEEP,UPLOAD,DOWNLOAD,CMD,NOTHING等功能

网络分析:构造了一个HTTP/1.0 GET请求,并且连接一个远程系统。这种连接不太可能被防火墙拦截,因为是向外的一个合法的HTTP请求。




Lab0902

反向shell:

传递给CreateProcess的STARTUPINFO结构被修改

根据书后答案,这里的StartupInfo结构体中的wShowWindow字段,被赋值为0时,代表该窗口不可见

以隐藏窗口的方式运行cmd.exe,所以它对被攻击的用户不可见

在调用CreateProcess之前,一个套接字被创建且建立了一个与远程服务器的连接

这个套接字与cmd.exe标准的输入输出以及错误流相绑定

Lab0903

导入的dll还有运行程序所需的系统dll:kernel32.dll,NetAPI32.dll

把DLL2拖入IDA时,我们可以选择Manual load(手动加载到不同位置)


可参考的writeup:

https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-9-1/

https://jmprsp.wordpress.com/2016/03/05/practical-malware-analysis-ollydbg-lab-9-01/

https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-9-2/

https://hunted.codes/writeups/challenges/practical-malware-analysis/practical-malware-analysis-lab-9-3/