20145326蔡馨熤《计算机病毒》——动态分析(1)
基于样例代码lab03-01.exe
-
找出这个恶意代码的导入函数和字符串列表。
-
说到导入函数,当然先想到静态分析里面的Dependency Walker工具。
- 不过,把恶意代码导入Dependency Walker工具的时候,感觉应该加了壳。所以用PEiD进行查壳。
- 再用脱壳工具进行脱壳,发现竟然脱壳失败。
- 再利用PEview查看,发现最开始都是乱码,看来的确加了壳。不过我们依旧可以看到有一些路径信息、还有一个网址、一个exe程序名(可能是写入的恶意程序)、注册表自启动项键值。所以在之后的分析中应该重点关注网络连接和下载、注册表更改、新程序的写入等操作。
- 利用Process Monitor分析
- 由于这个工具项目过多,所以我们应该进行过滤操作。比如指定相应的操作和进程名。
- 我发现恶意代码在系统中写入了一个新程序叫做vmx32to64.exe,这个新的可执行程序的长度为7168。与Lab03-01.exe程序本身长度是一致的。
- 它将自己复制到了system32文件夹下。然后再看写入的注册表值。显示对注册表键值的更改成功。双击查看详情。
- 这是Lab03-01.exe点开后的效果。
- 使用Process Explorer分析,我们在进程栏中发现了Lab03-01.exe。
- 双击可以查看Lab03-01.exe的属性。
- 查看Lab03-01.exe的DLL库。
- 判断这个程序应该是有联网的操作,我们对dll进行签名验证。
- 查看内存镜像和硬盘镜像中可执行文件的字符串列表。
- 通过Regshot快照对比。在运行Lab03-01.exe之前进行一次注册表快照,运行之后再进行一次。
-
这个恶意代码在主机上的感染迹象是什么?
- 网络连接和下载。
- 写入一个新的程序。
- 注册表键值的更改。
- 这个恶意代码是否存在一些网络特征,如果存在,它们是什么。
- 由于分析它有网络行为,于是用WireShark抓包。发现这个程序有一个向www.practicalmalwareanalysis.com连接的包。
- 与之前使用PEview的分析对比一下。
- 打开注册表编辑器,观察后,发现的确产生了变化,这里忘截图了。。。
- 在主机中查看被写入的程序。
