20145319 《计算机病毒》动态分析lab3-2

20145319 《计算机病毒》动态分析lab3-2(实践六)

实践过程

基础分析

• 拿到恶意代码时，首先使用PE ID打开，查看其中一些基础信息以及观察该恶意代码是否加壳，来肯定下一步分析方向
• 从结果上来看，该恶意代码并未加壳，因此咱们能够进行以前咱们经常使用的一些静态分析手段，咱们最关心的，则是这个恶意代码的导入导出表信息，经过分析其中调用的函数，对咱们分析该代码功能有很大帮助

• 其中导入表函数与咱们以前分析的恶意代码并没有太大分别，内存操做相关的kernel32.dll提供c语言库函数wsvcrt.dll以及网络链接，套接字相关ws2_32.dll等，还有大量注册表相关函数advapi.dll.所以导出表中尤为是install相关函数则更引人关注

如何让该恶意代码自行安装

• dll文件没法直接运行，所以须要经过加载到其余进程中完成功能，如何安装此恶意代码，则与咱们以前看到的导出函数有关，从函数名上来看，最可能的函数就是install和installA(二者在参数的字符集的要求上有所不一样，功能相同)，咱们能够大胆猜想，经过运行恶意代码的该函数，应该就能够完成代码安装

• rundll32.exe dll文件名,函数名

安装以后如何让这个恶意代码运行

• 经过对比注册表，咱们能够知道，该恶意代码新建了一个名为IPRIP的服务，所以咱们能够经过运行该服务来运行恶意代码

怎么找到该恶意代码的宿主进程

• dll文件没法单独运行，所以只能寄宿在其余进程中，咱们先经过pe view打开，看是否能查看到信息，能够看到在可识别的字符串中，提到了一个系统进程scvhost.exe
• 咱们同时运行process exploer等软件，对进程列表进行监控，点击find搜寻lab03-02.dll咱们就能够找到是哪些进程正在调用该dll文件

• 所以咱们就能够找到，其宿主进程是一个pid为1352的scvhost.exe

precess moniter工具中设置怎样的过滤器来搜集信息

• 经过上一步的结果咱们能够很清楚的找到该进程的pid，所以咱们想搜集相关信息只须要限制Pid来查找便可

恶意代码中网络链接相关的特征码

• 在查看导入表的时候，咱们明确看到了其中与套接字相关的dll文件，所以该恶意代码是确定与网络链接相关的
• 咱们再次经过Pe view来观察一下其中字符串中是否有相关信息，能够观察到其中有一个网址
• 具体信息咱们经过wirshark进行抓包分析

• 经过对dns，以及ip地址的过滤，找到相应数据包进行分析，咱们就能够知道，在访问一个serve.html的网页文件