恶意代码分析实战Lab01-03,lab01-04

时间  2021-01-20 标签 malware

分析lab01-03.exe,lab01-04.exe
先来看lab01-03.exe
Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
Q1.将Lab01-03.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
将文件上传到virustotal后
在这里插入图片描述
A1:可以看到报警率为64/73
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
将实验文件载入peid
在这里插入图片描述
可以看到是被加壳的,加壳器为FSG
进一步查看其导入表
在这里插入图片描述
只有两个函数LoadLibrary,和GetProcAddress,加壳文件往往只有这两个导入函数。
A2这个文件是加壳的,但我们在这个时候还无法进行脱壳

Q3.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
A3,A4: 在没有脱壳的情况下还无法回答。我们将在后面的课程中学到如何手动脱壳

接着分析lab01-04.exe
Q1.将Lab01-04.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告。
Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
Q3.这个文件是什么时候被编译的?
Q4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
Q5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
Q6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
依次分析
Q1.将Lab01-04.exe 文件上传至http://www. VirusTotal.com/进行分析并查看报告
在virustotal上传实验文件
在这里插入图片描述
检测结果如下
在这里插入图片描述
A1:可以看到报警率为59/72

Q2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
载入peview
在这里插入图片描述
A2:没有加壳或混淆的迹象
Q3.这个文件是什么时候被编译的?
将文件载入studype+
在这里插入图片描述
A3: 3.根据文件头,这个文件是在2019年8月31编译的。而这本书的成书时间在2019之前,显然,这个编译时间是伪造的,因此我们还不能确定这个文件到底是什么时候被编译的。

Q4.有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
载入peid,查看导入表
在这里插入图片描述
从advapi32.dll导入函数可以看到,程序做了一些与权限有关的事情,比如是在访问使用了特殊权限保护的文件。
在这里插入图片描述
从kernel32.dll导入函数可以这个程序会对资源节进行操作(LoadResource、FileResource、SizeofResource),从资源节中加载数据,写一个文件到磁盘上(CreateFile,WriteFile),执行磁盘上的文件(WinExec),GetWindowsDirectory的调用,我们可以猜测这是将文件写到系统目录
A4:从advapi32.dll 导入的函数,表明程序在做一 些与权限有关的事情。导入函数WinExec 和WriteFile,以及VirusTotal.com 的结果,告诉我们这个程序会写一个文件到磁盘上,然后执行它。导入函数还有一些是用于从文件的资源节中读取信息的

Q5.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
使用strings查看字符串
用法很简单
strings 文件名
在这里插入图片描述在这里插入图片描述

A5:字符串\system32\wupdmgr.exe表示,结合GetWindowsDirectory函数,可以推测,恶意代码会在C:\windows\system32\wupdmgr.exe这个位置创建或者修改文件。字符串www. malwareanalysisbook. com/ updater . exe可能是保存下载恶意代码位置。
Q6. 这个文件在资源段中包含一个资源。使用Resource Hacker工具来检查资源,然后抽取资源。从资源中你能发现什么吗?
使用resource hacker载入
在这里插入图片描述
可以看到资源节里存储着另一个可执行文件,我们可以将其另存为一个可执行文件,操作如下
在这里插入图片描述在这里插入图片描述

此时载入peview载入lab1-4.exe进行分析
在这里插入图片描述 查看其导入表可以知道,调用URLDownloadToFile,这个函数常见于恶意下载器,用于网络操作;还调用了WinExec,可能会执行下载过来的文件。 A6:资源节中包含了另一个PE可执行文件。使用ResourceHacker可以将这个资源保存为二进制数据,然后使用分析-一个可执行文件的方法来分析这个二进制文件。在资源节中的可执行文件是-一个下载器程序,用来下载额外的恶意代码。

联系我们 沪ICP备13005482号-10