2.4 资源管理器Restorator--《恶意代码分析实战》
Lab01-04.exe
实验内容:
1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。
3、这个文件是什么时候被编译的?
4、有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,他们会告诉你什么?
5、哪些基于主机或基于网络的迹象可以被用来确定这个恶意代码感染的机器?
6、这个文件在资源段中包含一个资源,使用Restorator工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
1.资源查看器Restorator
在Lab01-04中有个"BIN"的资源,并且文件头是以MZ开头,可以确定他是一个PE文件,我们用右键功能将其导出为exe。
拖入 StudyPE+,发现是一个没有加壳的文件,查看导入表,寻找可疑api
WinExec //这个api主要是用来进行执行程序、命令操作。
URLDwonloadToFile //这个api是从网络上下载文件并保存到本地的一个操作。
猜测是一个下载器,用来下载额外的恶意代码并执行。