T C Biên www.hutech.edu.vn CH M C *1.2022.CMP399* tailieuhoctap@hutech.edu.vn : I .I III 1.1.5 Imports 1.2.2 Unpacking the File 1.2.3 Imports 10 11 13 HÂN 26 33 33 33 2.1.2 Phân tích t -01.dll 33 33 34 34 \cmd.exe/c 35 37 2.2.1 Lab 6-01 37 2.2.2 Lab 6-02 38 2.2.3 Lab 6-03 41 2.2.4 Lab 6-04 45 2.3 48 2.3.1 Lab 7-01 48 2.3.2 Lab 7-02 52 2.3.3 Lab 7-03 54 59 59 3.1.1 Lab 3-01 59 3.1.2 Lab3-02 67 II 3.1.3 Lab3-03 71 3.1.4 Lab3-04 73 76 76 4.1.1 Lab 09-01 .76 4.1.2 Lab 09-02 .82 4.1.3 LAB 09-03 .89 B 96 96 5.1.1 Lab 10-01 .96 5.1.2 Lab 10-02 102 5.1.3 Lab 10-03 110 115 5.2.1 Lab 11-01 115 5.2.2 Lab 11-02 121 5.2.3 Lab 11-03 129 138 III MÔ MÔN Mơn cung cho sinh viên phân tích mã dung môn nguyên liên quan các cơng pháp trúc DUNG MƠN - BÀI 1: PHÂN TÍCH - BÀI 2: PHÂN TÍCH - BÀI 3: PHÂN TÍCH - BÀI 4: PHÂN TÍCH - BÀI 5: PHÂN TÍCH MÃ NÂNG CAO NÂNG CAO Sinh viên có hành trúc máy tính, Windows, Linux U MƠN CÁCH lên làm nhà DUNG MƠN mơn này, tham gia tích Sau tài trình, xong, khác liên quan ôn bài dung khái làm làm thêm tính câu ví thêm IV PHÁP - GIÁ MƠN q trình: 50% tra - làm thi: 50% Hình vào phòng thi tra nhà dung thi câu xun q trình chun 90 phút, khơng mang tài câu BÀI 1: BÀI 1: K 1.1 CÁC K Truy N vào https://practicalmalwareanalysis.com/labs/ tin Lab01-01.exe Lab01-01.dll, 1.1.1 S hai "Chapter_1L" d ng Virus Total t tra THU tinLab01-01.exe Lab01-01.dll lên www.virustotal.com tin có Tính mã hay không ngày 20 tháng Lab01-01.exe phát 1.1.2 Công c phát vi-rút 15/55 cho Lab01-01.dll h tin có pháp sau Phân tích cơng Cerbero 01.exe 0x4D0E2FD3 truy báo cáo VirusTotal.com Cerbero Profiler Lab01- Hai ngày 20 tháng 12 00:16:19 2010) FileHeader 0x4d0E2FE6 00:16:38 2010) Công Hai ngày 20 tháng 12 gian unix cho Các cơng giúp tính trích FileHeader-> TimeDateStamp Lab01-01.dll-> TimeDateStamp sang múi gi vi-rút 20/55 cho Cerbero Profiler gian biên 2016, gian EpochConverter.com gian hex có BÀI 1: 1.1.3 Cơng c Truy PEiD vào http://www.softpedia.com/progDownload/PEiD- updated-Download-4102.html công PeiD BÀI 1: tin Lab01-01.dll PEiD Cho ++" tin "Microsoft Visual C nén 1.1.4 Công c IDA BinText Truy vào công xem mô text :https://hex-rays.com/ida-free/ tin Lab01-01.dll tin Lab01-01.exe IDA Pro.Lab01-01.exe IDA Pro cơng BÀI 1: Imports gói IDA PRO, Ch Lab01-01.exe có xáo Trong Lab01-01.exe, có Thao tác chép tin quan sát tên tin sau mã hoá tin thi 125 BÀI 5: mã wsock32.dll cho trình tiên, chúng tơi xem xét mã truy tin hình 125 BÀI 5: mã wsock32.dll cho trình tiên, chúng tơi xem xét mã truy tin hình 126 BÀI 5: Sau tin trình @ 0x100016CA xem hàm hình, mã mã xor Hãy mã sâu vào hook cách trình này, ollydbg BÀI 5: mã hàm sau Nó có 127 hay khơng tra xem có, 128 BÀI 5: RCPT TO: \r\n ban Sau hàm thúc quetsion mã hóa Nó qua hàm câu cách mã OUTLOOK.EXE, MSIMM.EXE trình; THEBAT.EXE, khách qua email config.ini ch email thay công email công inetsim câu Export cho mã email outlook express sau cài sau: DLL gì? sau cài mã rundll32.exe? Lab11-02.ini Mã mã mã cài có cài lâu dài? cách? cách 129 BÀI 5: Mã rootkit khơng gian dùng nào? Mã hooking làm gì? Mã cơng (các) quy trình Ý sao? tin.ini gì? Làm cách có mã Wireshark? 5.2.3 Lab 11-03 Công : - IDA Pro - Procmon - Ollydbg - Process Explorer mã : Lab11-03.exeSHA256: bf023ff344efe2db0e0a963869368f0ef352764666bc368ad61b7a4c1d9f5975 Lab11-03.dll SHA256: f11fa868ac3dee1e5fbd985fe15ba6d34c7ec0abb47babe0d34a35514c49c86a VirusTotal: - phát 19/56 (1) & 5/56 (2) - Phân tích vào ngày 03-03-2016 - Ngày biên : 2011-11-19 16:34:41 (1) & 2011-11-08 22:33:33 (2) Lab 11-3 Phân tích mã hai phân tích tìm tin Lab11-03.exe Lab11- trong trình 130 BÀI 5: Lab11-03.exe Dll11-03.exe tiên, chép Lab11- 03.dll sang C:\\Windows\\System32\\inet_epar32.dll Sau C:\\Windows\\System32\\cisvc.exe cách thông qua thi tin thi net start cisvc Lab11-03.dll Dll quan tâm zzz69806582 Khi có hàm trơng BÀI 5: Các 131 GetAsyncKeyState GetForegroundWindow cho keylogger Hàm @ zzz69806582 mà hàm Nó tra tiên cho mutex; MZ 132 BÀI 5: Sau theo, tin @ C:\\Windows\\System32\\kernel64x.dll trình ghi gõ phím 133 BÀI 5: câu 1, tiên chép Lab11-03.dll sang C:\\Windows\\System32\\inet_epar32.dll Sau C:\\Windows\\System32\\cisvc.exe cách thông qua Sau v thi tin thi net start cisvc ghi thao tác gõ phím C:\\Windows\\System32\\kernel64x.dll Nó lây C:\\Windows\\System32\\cisvc.exe; cách chèn mã shell vào trình Cisvc.exe C:\\Windows\\System32\\inet_epar.dll So sánh sung thay tin thi thêm vào Trên tin hình bên có có vào 134 Nó lây BÀI 5: C:\\Windows\\System32\\cisvc.exe 135 BÀI 5: GetAsyncKeyState GetForegroundWindow , dll ghi phím vào C:\\Windows\\System32\\kernel64x.dll Dll keylogger lúc gõ mutex 136 BÀI 5: Trong C:\\Windows\\System32\\kernel64x.dll 137 BÀI 5: câu có tích Làm Mã sau: khám phá phân tích quan tâm b mã Lab11-03.exe cài lây mã vào Lab11-03.dll làm gì? Mã cách mà thu này? liên tin Lab11-03.dll? Windows nào? phân 138 Eldad Eilam (2005), Reversing: Secrets of Reverse Engineering, Wiley Publishing, Inc.,ISBN-10: 0-7645-7481-7 Peter Szor (2005), The Art of Computer Virus Research and Defense, AddisonWesley, ISBN: 0-321-30454-3 Mark Dowd, John McDonald, Justin Schuh (2006), Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities, Addison Wesley Professional, Print ISBN-10: 0-321-44442-6 Greg Hoglund, Gary McGraw, Exploiting Software How to Break Code, Addison Wesley, 2004, ISBN: 0-201-78695-8