20145326蔡馨熤《计算机病毒》——动态分析（1）

20145326蔡馨熤《计算机病毒》——动态分析（1）

基于样例代码lab03-01.exe

• 找出这个恶意代码的导入函数和字符串列表。

• 说到导入函数，固然先想到静态分析里面的Dependency Walker工具。

• 不过，把恶意代码导入Dependency Walker工具的时候，感受应该加了壳。因此用PEiD进行查壳。

• 再用脱壳工具进行脱壳，发现居然脱壳失败。

• 再利用PEview查看，发现最开始都是乱码，看来的确加了壳。不过咱们依旧能够看到有一些路径信息、还有一个网址、一个exe程序名（多是写入的恶意程序）、注册表自启动项键值。因此在以后的分析中应该重点关注网络链接和下载、注册表更改、新程序的写入等操做。

• 利用Process Monitor分析
• 因为这个工具项目过多，因此咱们应该进行过滤操做。好比指定相应的操做和进程名。

• 我发现恶意代码在系统中写入了一个新程序叫作vmx32to64.exe，这个新的可执行程序的长度为7168。与Lab03-01.exe程序自己长度是一致的。

• 它将本身复制到了system32文件夹下。而后再看写入的注册表值。显示对注册表键值的更改为功。双击查看详情。

• 这是Lab03-01.exe点开后的效果。

• 使用Process Explorer分析，咱们在进程栏中发现了Lab03-01.exe。

• 双击能够查看Lab03-01.exe的属性。

• 查看Lab03-01.exe的DLL库。

• 判断这个程序应该是有联网的操做，咱们对dll进行签名验证。

• 查看内存镜像和硬盘镜像中可执行文件的字符串列表。

• 经过Regshot快照对比。在运行Lab03-01.exe以前进行一次注册表快照，运行以后再进行一次。

• 这个恶意代码在主机上的感染迹象是什么？

  • 网络链接和下载。
  • 写入一个新的程序。
  • 注册表键值的更改。
• 这个恶意代码是否存在一些网络特征，若是存在，它们是什么。
• 因为分析它有网络行为，因而用WireShark抓包。发现这个程序有一个向www.practicalmalwareanalysis.com链接的包。

• 与以前使用PEview的分析对比一下。

• 打开注册表编辑器，观察后，发现的确产生了变化，这里忘截图了。。。

• 在主机中查看被写入的程序。