lab10-01
1简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串
再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注册表操作
我们依照题意先用promon看看lab10-01.exe都做了什么操作,发现只有一个对注册表的写操作,还只是写了一个随机种子
2先分析.exe发现程序很简单把,sys注册为名为Lab10-01服务(并且他的类型为3),然后启动这个服务,最后调用ControlService,停止服务,注意第二个参数为1,是通知服务应该停止
现在要内核调试才能看到我们想要了解的信息了,配置的话一般照着课本是不会有问题的,有问题的话(一个是管理员身份运行windbg,然后注意vm中右下角那个串行接口显示的和boot.ini是一致的)
成功后查看Lab10-01的对象信息
然后在他的driverunload处下断点,然后运行,回到虚拟机中继续运行.exe程序发现马上命中断点,虚拟机停止运行
单步运行发现四次调用 RtlCr