第三章
1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。
如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。
2.运行恶意代码。
启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc
export argc是dll导出表的函数名或者序号。
3.Process monitor。 Windows下面的高级监视工具,提供监控注册表,文件,网络,进程,线程行为。
可以选择filter进行过滤。常用过滤有 operation,pid,process name...
4.Process Explorer 进程浏览器。可以查看进程的信息process,pid,cpu,description,company name。视图每秒更新一次。
5.Regshot 比较注册表快照。如果是对注册表进行分析时,可以选择使用这个来比较程序运行前后注册表的变化。
6.模拟网络。
7.wireshark 记录网络数据包。
8.基础动态分析工具实践。
<1>.运行进程监视器,设置过滤可执行恶意代码名,运行前清空所有事件
<2>.启动进程浏览器
<3>.使用regshot 进行注册表的第一个快照
<4>.使用wireshark来记录网络行为。
<5>.运行恶意程序,通过前面的软件进行分析。
课后作业
实验软件:wireshark, process monitor, process explorer, exeinfo pe, olldbg
Lab 3-1
使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码