题目描述:
某日,一小学生弄了个U盘到打印店打印文件,U盘往计算机上一插,发现机子死机了,高明的打印店老板为了防止此类事件,特意设置了霸王键,可一键备份,随后老板把U盘备份了交给小王,小王想要知道U盘里到底被感染了什么你能帮帮他吗?
主机C:\Reverse\8目录下提供了这个UP_BOOT.img文件,请对该文件进行逆向分析,找到题目过关的Flag。
实验步骤:
1、病毒特性分析
病毒程序是一个img文件,这种文件不是可执行文件,因此无法直接运行。使用7zip打开这个文件,看看里面是不是附加了什么东西。选中文件后,单击鼠标右键,在弹出的右键菜单中选择“7Zip”——“Open archive”,如图所示:
打开autorun.inf:
运行游戏:
玩了几把游戏没什么发现,再次尝试使用7Zip打开“是男人你就下100层.exe”这个文件:
发现里面有三个文件,分别为1.vbs、1.exe、2.exe。
2、使用在线沙箱分析
运行1.exe文件,就出现一个一闪而过的黑框。现在使用在线沙箱分析,查看1.exe都有哪些行为特征。
打开金山火眼(https://fireeye.ijinshan.com/ ),注册一个账号并激活,点击“分析文件”上传1.exe进行分析,等待一段时间就可以看到分析报告了。
查看分析报告。从分析报告中我们可以看出,1.exe释放了一个test.txt文件到当前目录,而且把test.txt的文件属性设置为系统和隐藏,因此看不到文件夹里面多了一个txt文件。在使用记事本打开这个test.txt文件,文件内容为(WdubQ4IGEzAG54NfATJTNhI4TLIvPvENyTLLWb3YCNBeK5wad5XCgrSQNOih1F):
3、计算flag信息
使用MD5计算工具,算出这个字符串的16位MD5值,为a4620ba0298017b2,也就是要找的flag。
4、常见的在线沙箱包括但不限于:
金山火眼 https://fireeye.ijinshan.com/
韩海源文件B超 https://b-chao.com/
Anubis https://anubis.iseclab.org/