实验环境
实验设备环境:windows XP
实验工具:PEID,Strings,process monitor,process explore
实验思路
1、静态分析恶意程序的基本信息
2、监控并分析恶意程序的特征
实验过程
首先我们先利用静态分析工具PEID进行静态分析:
点击子系统之后点击输入表,获得引入的表项如下:
我们可以观察到dll引入了copyfile等函数,并且在下方也同样引入了getSystemDirectoryA函数用来获取系统目录。一般来说恶意程序使用这些函数进行自身进程的复制并隐藏自身。
下面我们可以看到有关于一些Service的函数,说明此程序可能还会涉及到服务方面的信息。
我们还会发现一些有关于注册表的信息,说明程序还涉及到了注册表的操作。
我们还会发现其还调用了ws_32.dll这个dll一般用来网络操作,那么说明此程序还存在一些联网操作。
下面我们可以使用strings进行进一步分析:
我们可以观察到一些信息,例如上面所示,并且还出现了HTTP/1.0,那么我们就可以猜测可能是一个http的后门程序。
1、当运行文件的时候,会发生什么?
我们使用process explore进行监控,打开此软件后运行程序:
我们会发现,explore中无变化,但是点击运行以后原来目录下的Lab03-04.exe程序消失了。
2、是什么原因造成动态分析无法有效实施?
这一次我们使用process monitor进行检测。
在其中我们可以设定过滤器,通过进程名称进行过滤。现在我们可以进行程序的运行就可以获得监控信息。点击工具栏上面的:
使其只监控进程信息。
可以发现创建了一个进程,我们点击此进程:
我们可以发现此信息告知我们他是创建了一个cmd.exe进程并且删除了原有的进程。(del命令)