20145326蔡馨熤《计算机病毒》——动态分析(1)

20145326蔡馨熤《计算机病毒》——动态分析(1)

基于样例代码lab03-01.exe

  • 找出这个恶意代码的导入函数和字符串列表。

  • 说到导入函数,当然先想到静态分析里面的Dependency Walker工具。

  • 不过,把恶意代码导入Dependency Walker工具的时候,感觉应该加了壳。所以用PEiD进行查壳。

  • 再用脱壳工具进行脱壳,发现竟然脱壳失败。

  • 再利用PEview查看,发现最开始都是乱码,看来的确加了壳。不过我们依旧可以看到有一些路径信息、还有一个网址、一个exe程序名(可能是写入的恶意程序)、注册表自启动项键值。所以在之后的分析中应该重点关注网络连接和下载、注册表更改、新程序的写入等操作。

  • 利用Process Monitor分析
  • 由于这个工具项目过多,所以我们应该进行过滤操作。比如指定相应的操作和进程名。

  • 我发现恶意代码在系统中写入了一个新程序叫做vmx32to64.exe,这个新的可执行程序的长度为7168。与Lab03-01.exe程序本身长度是一致的。

  • 它将自己复制到了system32文件夹下。然后再看写入的注册表值。显示对注册表键值的更改成功。双击查看详情。

  • 这是Lab03-01.exe点开后的效果。

  • 使用Process Explorer分析,我们在进程栏中发现了Lab03-01.exe。

  • 双击可以查看Lab03-01.exe的属性。

  • 查看Lab03-01.exe的DLL库。

  • 判断这个程序应该是有联网的操作,我们对dll进行签名验证。

  • 查看内存镜像和硬盘镜像中可执行文件的字符串列表。

  • 通过Regshot快照对比。在运行Lab03-01.exe之前进行一次注册表快照,运行之后再进行一次。

  • 这个恶意代码在主机上的感染迹象是什么?

    • 网络连接和下载。
    • 写入一个新的程序。
    • 注册表键值的更改。
  • 这个恶意代码是否存在一些网络特征,如果存在,它们是什么。
  • 由于分析它有网络行为,于是用WireShark抓包。发现这个程序有一个向www.practicalmalwareanalysis.com连接的包。

  • 与之前使用PEview的分析对比一下。

  • 打开注册表编辑器,观察后,发现的确产生了变化,这里忘截图了。。。
  • 在主机中查看被写入的程序。

posted on 2017-04-23 11:00  20145326蔡馨熠  阅读(476)  评论(0编辑  收藏  举报

导航