strings 的使用
注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下
列出可打印的字符
进入cmd
*1、进入根目录cd *
strings 文件名称.exe
可以看到system 下面有一个dll 文件用来混淆原本的dll 文件
基于主机的迹象
2、string 文件名.dll
出现一个网址
www.ip.cn用于ip地址的查询,网络的迹象
ip地址是保留地址的话是私有地址
exec
给后门传入命令
sleep
让后门程序休眠
exe程序与dll程序的关系
exe程序可以使dll程序运行,dll程序
实验一
使用环境 windows xp
工具:PEID,strings, Free UPX,VirSCAN.org
试验文件:lab01-02.exe
实验思路:利用网络扫描工具和本地静态工具对目标程序进行分析,再利用自动化脱壳工具进行脱壳
1、VirSCAN.org进行扫描程序,查看结果
2、PEID文件是否有加壳的迹象,文件可以拖入,进行multi scan,如果有进行脱壳,使用Free UPX在菜单action下选择脱壳,脱壳之后将源程序覆盖
3、有没有导入函数暗示这个程序的功能