一、实验内容
1、使用PEiD、PETools、Strings等工具完成对恶意代码Lab01-04.exe的基础静态分析,回答下列问题。
答:
1)将Lab01-04.exe文件上传至www.virscan.org/ 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
1、文件匹配到了已有的反病毒软件特征。
2)是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
答:2、没有被加壳或者混淆的迹象
3)这个文件是什么时候被编译的?
3、通过virustotal可以扫描出创建时间为2019.8.30
4)有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
4、根据advapi.dll的函数可以看出,该恶意代码可能做一些与权限相关的事情;从kernel32.dll的WriteFile、CreateFileA以及WinExec可以看出来其可能做一些读、写、创建、执行文件的操作
5)有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?
5、通过调用strings查看exe的字符串,我们看到了GetWindowsDirectoryA以及\system32\wupdmgrd.exe,并且经过搜索,系统中并不存在相关可执行文件,可以猜测恶意代码获取文件夹地址后创建或修改该文件。http://www.practicalmalwareanalysis.com/updater.exe可能为恶意代码获取信息后的回传地址。
6)这个文件在资源段中包含一个资源。使用 Resource Hacker工具来检査资源,然后抽取资源。从资源中你能发现什么吗?
使用ResourceHacker打开文件后,发现资源节中除了一端固定字符外,其余的都是无意义字符,初步猜测这是一个隐藏在PE资源节中的另一个PE文件(经过网上搜索,这是恶意代码的经典操作),将其Save as … bin File,然后通过PEtools打开,发现它的导入函数中有URLDownloadToFileA,WinExec,猜测是一个从网上下载资源并执行的PE,
2、使用ProcessMonitor、ProcessExplorer、Regshot等工具分析Windows恶意代码Lab03-03.exe,回答下列问题。
------1)当你使用 Process Explorer工具进行监视时,你注意到了什么?
运行前先建立快照A
打开3-3后,process explorer能看到一闪而过的进程,同时我们发现,svchost.exe作为主进程独立运行(运行了多次程序)
······建立快照B,对照注册表的修改行为
2)你可以找出任何的内存修改行为吗?
使用process monitor筛选、regshot可以看出,Lab03-03.exe执行了CreateFile、RegOpenKey及Threat Exit等操作,结合1中svchost.exe作为独立的主进程运行来看,Lab03-03.exe应该是修改了原有的svchost.exe。并且修改了注册表中的键值(注册表不太 懂就没分析了0.0)
3)这个恶意代码在主机上的感染迹象特征是什么?
3、在process explorer中查看svchost.exe的属性,可以看到该PE文件的image和memory中的strings差别较大,最为明显的是memory中的strings有practicalmalwareanalysis.log以及26个英文字母和各个特殊的功能键字符。由此推断,该恶意代码在主机上的感染迹象应是创建了practicalmalwareanalysis.log日志文件。
下图是程序在strings中的memory
4)这个恶意代码的目的是什么?
4、根据上述现象,初步推断该恶意代码功能是记录计算机的键盘记录。接下来通过记事本打字输入、practicalmalwareanalysis.log内容验证可知推断正确。
二、实验目的和要求
三、回答问题、采集实验数据(注意对截图有必要的文字说明)
四、实验总结(请将实验过程中遇到的问题和心得记录下来)
扫一扫
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
