20145233计算机病毒实践5之动静态分析
Lab03-01静态分析
PEiD
-
可以看出来已经被加壳了
-
使用info后看到看到使用的是upx加壳
PEview
- PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,OBJ,LIB,DBG,和其他文件类型。
- 可以看到对于程序的二进制数据
- 这有得到的传送的网络地址以及程序名称
Dependency Walker
- Dependency Walker是一款Microsoft Visual C++ 中提供的非常有用的PE模块依赖性分析工具
- 主要功能如下:查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称
- 利用这个工具可以查到调用的函数
- 可以看到因为被加壳,所以只能看到一个函数
动态分析
Process Explorer
-
开启Process Explorer:
-
这个程序应该是有联网的操作
-
Regshot注册表的变化情况,进行一次注册表快照,运行之后在进行一次,并进行比较
*
wireshark
- 启动wireshark捕获网络信息
- 捕获到发送给网站的数据包
主机变化
- 可以找到生成了一个系统文件
