由于这三个题目很相似,放在一起了。
Lab 1-2
问题
1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。
PEID
通过EP段为UPX1
和什么都没找到
可以推断这个样本存在加壳的情况,使用linxerUnpacker
工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。
对于脱壳后的exe文件再次使用PEID,发现
3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
对于我们已经脱壳成功的exe文件,我们使用PEID查看输入表函数(导入函数)
WININET.dll下有两个函数,分别是
ADVAPI32.dll下函数如图:
这个样本有联网和开启或创建服务的可能。
4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?
使用strings工具查看字符串:
我们可以注意到一些可疑字符串,如MalService 还有网址。
Lab 1-3
问题
1.将Lab01-03.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
上传即可
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。
同理使用PEID
和linxerUnpacker
工具
发现EP段未显示,且下方是FSG……,这说明该文件有明显的壳特征。
输入表只能看见
脱壳:由于有明显的壳特征,因此直接使用壳特征脱壳
即可。
脱壳后的程序查看
3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
见上图,感觉就这个ole32.dll
可以分析一下
4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?
使用strings工具
同样也是出现了一个网址。
Lab 1-4
问题
1.将Lab01-04.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
上传即可
2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请就行脱壳,如果可能的话。
同理使用PEID
和linxerUnpacker
工具
未加壳
3.有没有任何的导入函数能够暗示这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么?
PEID查看导入函数
从kernel32.dll的api函数可以看出这个样本可能涉及到文件的读写、资源的查找等
从advapi32.dll函数,如下图,可能和系统的权限有关。
4.哪些基于主机或基于网络的迹象可以用来被确定被这个恶意代码所感染的?
使用strings工具
出现了很多dll,在系统目录下出现了一些exe文件。
6.这个文件在资源段中包含一个资源,使用Resource Hacker工具来检测资源,然后抽取资源。从资源中你能发现什么?
由于对于资源段每一包含资源的文件,使用该工具后是空白的,对于lab 04.exe查看
保存资源到ida分析,我的ida看不了string,额,用strings看了下,和第四题里面一样,exe和网址。