Lab 1-1
1:
lab 1-1.exe:
lab 1-1.dll:
2:
lab 1-1.exe:
lab 1-1.dll:
3:
lab 1-1.exe:
lab 1-1.dll:
4:
进行了文件、互斥量相关的操作。
5:
能够看到文件方面的操作,可以看到kernel32.dll和kerne132.dll,字符串“WARNING_THIS_WILL_DESTROY_YOUR_MACHINE”
6:
可以看到一个ip:127.26.152.13
7:
复制文件到system32下并改名为kerne132.dll,并于目的ip进行通信,再执行sleep等指令。
Lab 1-2
1:
2:
深度扫描后,使用upx -d 文件名
进行脱壳
3:
关键字:互斥量,线程,定时器,创建服务,网络连接
4:
主机特征:字符串“MalService”(在此章不明显,在后续章节分析可以得知是创建的服务名字)
网络特征:url和ie浏览器
Lab 1-3
1:
2:
使用工具linuxUnpacker进行脱壳,脱壳后默认为unpacked.exe
3:
使用了com对象模型(通过修改com对象的接口标识符和类标识符可以给予com对象不同的功能,从而达到恶意者的目的)
4:
网络特征:图片中的url
Lab 1-4
1:
2:
未加壳
3:
4:
关键字:提权,文件,资源操作
5:
主机:可能进行文件的下载替换类动作
网络:url
6:
使用reshacker保存资源文件后,进行分析
关键字:获取系统目录,winexec执行程序,开启后门下载