实验一
使用动态分析技术来分析lab03-01.exe文件中发现的恶意代码
问题
找出这个恶意代码的导入函数和字符串列表
找出代码在主机上的感染特征
创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。
找出是否存在一些有用的网络特征码,如果存在,它们是什么?
不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
实验环境
winxp
实验工具:Process Explorer(用于监控恶意程序进行的操作),strings,process Monitor(用于监控恶意程序产生的影响),PEID,Wireshark(监控全面监控目标程序对网络的改变)
实验文件:lab03-01.exe
实验思路
学会基本的动态分析工具的使用方法,监控恶意程序对本地计算机的修改,分析恶意程序的网络特征
实验过程
1、用PEID静态检测,看到导入函数只有kernel32的动态链接库,ExitProcess函数
2、strings程序查字符串,因为加壳有很多不可识别的字符串,看到注册表的路径和一个网址,
currentVersion\Run实现自启动的表项
3、启动wireshark,点击开始,启动Process Monitor,点击filter,点击筛选条件,点击process name 输入lab03-01.exe,点击add,ok