恶意代码实践作业5.2 初步动态分析

恶意代码实践作业5.2 初步动态分析

目录

• 恶意代码实践作业5.2 初步动态分析
  • 1.静态分析确定的线索
  • 2.动态分析对上述线索的验证分析过程
    • 1 Process Explorer
    • 2 Process Monitor
    • 3 Wireshark抓包
    • 4 比较运行前后的系统文件
  • 3.动态分析的结论
  • 4.动态分析中尚不能确定，有待进一步分析的内容

1.静态分析确定的线索

根据上次静态分析的结果，可判断这个文件的作用应该是替换kernel32.dll文件。过程是先关闭C:WindowsSystem32kernel32.dll，再将文件中的lab01-01.dll内容复制在C:WindowsSystem32中的kerne132.dll文件中。所以我们这次搜寻的关键是kernel32.dll文件

上次静态分析过程中通过IDA反编译出的主函数部分代码：

代码大致如下:

if ( argc == 2 && !strcmp(argv[1], aWarningThisWil) )
  {
    v3 = CreateFileA(FileName, 0x80000000, 1u, 0, 3u, 0, 0);
    v4 = CreateFileMappingA(v3, 0, 2u, 0, 0, 0);
    v5 = MapViewOfFile(v4, 4u, 0, 0, 0);
    v7 = CreateFileA(ExistingFileName, 0x10000000u, 1u, 0, 3u, 0, 0);
    v8 = CreateFileMappingA(v7, 0, 4u, 0, 0, 0);
    v9 = (const char **)MapViewOfFile(v8, 0xF001Fu, 0, 0, 0);
    qmemcpy(v14, v13, v16);
    }
    CloseHandle(hObject);
    CloseHandle(v50);
    if ( !CopyFileA(ExistingFileName, NewFileName, 0) )
      exit(0);
    sub_4011E0(aC, 0);
  }
  return 0;
}

2.动态分析对上述线索的验证分析过程

1 Process Explorer

ollydbg单步调试,从头到尾未出现子进程,程序在7C92E4F4处终止

2 Process Monitor

设置过滤信息为PID=20228(Process Explorer中显示的信息),可以看到在ida伪代码中一些修改注册表、打开读取文件、读取文件、关闭文件创建文件的函数,但没有之前分析的copy等操作，也没看到所copy的Lab01-01.dll

3 Wireshark抓包

设置地址为机器的ip号，什么都没抓到，静态分析中也确实没看到有联网的记录

4 比较运行前后的系统文件

kernel32.dll

该文件没有被修改，但是在运行期间确实被访问了

lab01-01.dll

该文件没有找到,本来猜测在Lab01-01.exe中,但其中只有一个PE头

kerne132.dll

该文件没有找到,可能是没有找到lab01-01.dll的缘故,所以没有实际copy的数据

3.动态分析的结论

该文件会对系统目录下的kernel32.dll进行访问并试图改动

该文件不会连接网络进行下载等操作

4.动态分析中尚不能确定，有待进一步分析的内容

由于缺少Lab01-01.dll,使得程序无法进行文件复制对kernel32.dll进行修改

从原书中找到了代码链接，已导入码云仓库中，欢迎下载
https://gitee.com/sin29/PracticalMalwareAnalysis-Labs